La Corte di Giustizia Ue dichiara invalida la decisione 2016/1250 della Commissione europea sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

Con la Sentenza Schrems II del 16 luglio 2020, resa nella causa C-311/2018, la Corte di Giustizia UE (CGUE) si è pronunciata in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del “Privacy Shield”, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbor”.
Nella medesima sentenza la CGUE ha invece ritenuta valida la decisione 2010/87 relativa alle clausole contrattuali tipo (SCC) per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi.
Sommario
Il caso Schrems
La vicenda riguarda un cittadino austriaco residente in Austria, il Sig. Maximillian Schrems, il quale, dopo essersi iscritto alla piattaforma social Facebook, presentava denuncia diretta all’autorità di controllo irlandese sulla protezione dei dati personali al fine di vietare a Facebook Ireland il trasferimento dei suoi dati verso server situati negli Stati Uniti appartenenti a Facebook Inc., ove poi venivano effettivamente trattati.
In particolare, il ricorrente lamentava che il diritto e la prassi statunitense non assicurassero una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti.
Tale denuncia veniva tuttavia rigettata poiché con la decisione 2000/520 la Commissione europea aveva dichiarato l’adeguatezza della protezione offerta dai principi dell’allora “Safe Harbour”.
Successivamente, con la sentenza 6 ottobre 2015 (cd. Sentenza Schrems I) la Corte di Giustizia, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), dichiarava invalida tale decisione.
A seguito della sentenza Schrems I e del successivo annullamento, ad opera del giudice irlandese, della decisione di rigetto della denuncia del sig. Schrems, questi riformulava la sua denuncia, chiedendo nuovamente di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dall’Unione verso gli Stati Uniti, che Facebook Ireland effettuava oramai sul fondamento delle clausole tipo di protezione contenute nell’allegato della decisione 2010/87.
L’autorità di controllo irlandese avviava quindi un procedimento dinanzi alla High Court affinché quest’ultima investisse la CGUE sulla questione della validità della decisione 2010/87.
Nelle more del procedimento la Commissione Ue adottava la decisione 2016/1250 con la quale dichiarava l’adeguatezza della protezione offerta dal regime del Privacy Shield, regolamento adottato in sostituzione del Safe Harbour.
La questione sottoposta alla Corte riguardava l’applicabilità del GDPR ai trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87; il livello di protezione richiesto da tale regolamento nel quadro di un trasferimento siffatto e gli obblighi che incombono alle autorità di controllo in tale contesto. La High Court sollevava inoltre la questione della validità tanto della decisione 2010/87 quanto della decisione 2016/1250.
Ambito di applicazione: GDPR vs Privacy Shield
La prima questione affrontata riguarda il raggio di operatività del GDPR quando il trasferimento di dati personali é effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo.
La Corte sottolinea come il diritto dell’Unione, in particolare il GDPR, si applichi a questo tipo di trasferimenti anche se, durante o dopo detto trasferimento, tali dati possano essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato.
A tal fine precisa che:”… tale tipo di trattamento di dati ad opera delle autorità di un Paese terzo non può escludere un trasferimento siffatto dall’ambito di applicazione del regolamento RGPD”.
Livello di protezione richiesto per i trasferimenti
Riconosciuta l’applicabilità del GDPR, la CGUE approfondisce la problematica del grado di protezione che tali trasferimenti richiedono.
Sul punto la Corte dichiara che:”…i requisiti previsti a tal fine dalle disposizioni del regolamento, attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento, letto alla luce della Carta.”
Naturalmente il suddetto livello di protezione deve essere frutto di una valutazione che prenda in considerazione ciò che è stipulato contrattualmente tra l’esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato ma anche, con riguardo ad un eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, gli elementi pertinenti del sistema giuridico di quest’ultimo.
Obblighi delle Autorità di controllo
I Garanti di ciascuno Stato membro sono tenuti a sospendere o vietare un trasferimento di dati personali verso un Paese terzo laddove ritengano che le clausole tipo di protezione non siano o non possano essere rispettate in tale paese e che la protezione dei dati trasferiti non possa essere garantita con altri mezzi.
E’ di questo avviso la Corte di Giustizia che nello specificare gli obblighi che incombono in capo alle autorità di controllo, ammetta delle deroghe unicamente nei casi in cui esista una decisione di adeguatezza della Commissione o l’esportatore stabilito nell’Unione abbia spontaneamente sospeso o messo fine al trasferimento di dati.
Validità della Decisione 2010/87/Ue
Il 5 Febbraio 2010 la Commissione europea ha adottato la decisione 2010/87/Ue relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio.
La Corte, chiamata ad esaminarne la validità, si interroga dapprima se tale decisione contenga dei meccanismi idonei a garantire il livello di protezione richiesto dal diritto dell’Unione e che, in caso di violazione delle clausole o di impossibilità di rispettarle, ne consentano la sospensione o il divieto di trasferimento.
Dopo aver constatato la previsione di tali meccanismi la Corte sottolinea come nella decisione sia altresì imposto un obbligo per l’esportatore dei dati ed il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato.
Il destinatario (l’ “importatore di dati”) dovrà inoltre informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.
A fronte di queste considerazioni la Corte ribadisce la validità della decisione 2010/87/Ue poichè non è possibile metterla in discussione per il semplice motivo che le clausole tipo di protezione dei dati non siano vincolanti per le autorità del paese terzo verso il quale i dati possono essere trasferiti, avendo esse natura contrattuale.
Validità decisione 2016/1250
La Corte ha inoltre esaminato la validità della decisione relativa allo scudo per la privacy (Privacy Shield), poiché i trasferimenti in esame nell’ambito della controversia nazionale che ha portato alla domanda di pronuncia pregiudiziale si sono svolti tra l’UE e gli Stati Uniti, rispetto ai requisiti risultanti dal GDPR.
Tale decisione rende possibile l’ingerenza nei diritti fondamentali delle persone, i cui dati siano trasferiti verso l’USA, per esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense.
Al tal uopo la Corte ritiene che: “ le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario”.
A sostegno delle sua invalidità, la Corte aggiunge che tale normativa non preveda per l’attuazione di alcuni programmi di sorveglianza alcun limite di autorizzazione e neppure delle garanzie per gli stranieri che ne possano essere investiti.
In ogni caso, anche qualora si prevedessero dei requisiti da rispettare dalle autorità americane nell’attuare i programmi di sorveglianza, nulla viene detto in merito ai diritti azionabili dinanzi ai giudici dagli interessati nei confronti delle autorità statunitensi.
Tutela giurisdizionale
Anche con riferimento al requisito della tutela giurisdizionale, la decisione 2016/1250 viene ritenuta inefficace.
Sul punto la Corte ha evidenziato come il meccanismo di mediazione previsto dalla suddetta decisione non offra le stesse garanzie richiesta dal GDPR, tali da assicurare l’indipendenza del mediatore e l’esistenza di norme che consentano a quest’ultimo di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi.

I Chiarimenti dell’EDPB
Al fine di fornire chiarimenti sulle inevitabili ripercussioni di questa pronuncia il Comitato europeo per la protezione dei dati personali ha reso disponibile sul sito istituzionale delle risposte ai quesiti più frequenti.
In particolare, la sentenza della Corte di Giustizia Ue ha annullato la decisione relativa allo scudo per la privacy senza preservarne gli effetti e non prevede un termine di “grazia” durante il quale continuare a trasferire i dati verso gli USA senza valutare la base giuridica per il trasferimento.
Ciò detto, il trasferimento di dati sulla base del Privacy Shield non è più legale. Ma non solo, poiché la normativa statunitense cui fa riferimento la Corte si applica a qualsiasi trasferimento verso gli Stati Uniti per via elettronica che rientra nell’ambito di applicazione della suddetta normativa, indipendentemente dallo strumento utilizzato per il trasferimento.
Pertanto la sentenza della Corte avrà implicazioni anche sugli strumenti di trasferimento diversi dallo scudo per la privacy. In generale, per i paesi terzi, la soglia fissata dalla Corte si applica anche a tutte le garanzie adeguate ai sensi dell’art. 46 del GDPR delle quali ci si avvalga per trasferire dati dal SEE (Spazio economico europeo) a qualsiasi paese terzo.
Per ulteriori delucidazioni si rimanda alla pagina del Garante Privacy italiano, nella quale è disponibile la traduzione del documento redatto dall’EDPB.
VP
Leggi anche: Privacy Shield: come funziona l’accordo tra UE e USA