La Corte di giustizia Ue ha dichiarato invalida la decisione della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo Ue-Usa per la privacy ritenendo invece valida la decisione relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in Paesi terzi. Si tratta di una decisione destinata a far discutere: quella decisione, infatti, e’ frutto di un accordo tra Ue e Stati Uniti. Il caso e’ originato dalla denuncia di un cittadino austriaco, i cui dati attraverso Facebook vennero trasferiti da Facebook Ireland a server appartenenti a Facebook Usa, con l’obiettivo di farli vietare. Denuncia respinta sulla base del rilievo che nella sua decisione (definita approdo sicuro), la Commissione aveva constatato che gli Stati Uniti garantiscono un livello adeguato di protezione. La Corte e’ stata investita di una questione pregiudiziale posta dalla High Court irlandese.
Entrando più nel dettaglio. Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorita’ statunitensi, dei dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione del 2016/1250, ‘non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalita’, giacche’ i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario’. Di fatto l’accordo Ue-Usa viene clamorosamente bocciato
Secondo il regolamento Ue sulla protezione dei dati il loro trasferimento verso un Paese terzo puo’ avvenire solo se questo garantisce un adeguato livello di protezione. La Commissione puo’ constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un Paese terzo assicura un livello di protezione adeguato. La Corte indica che la valutazione del livello di protezione dei dati trasferiti deve prendere in considerazione tanto cio’ che e’ stipulato contrattualmente tra l’esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autorita’ di tale Paese terzo ai dati cosi’ trasferiti, gli elementi pertinenti del sistema giuridico di quest’ultimo. Salvo che esista una decisione di adeguatezza validamente adottata dalla Commissione, le autorita’ sono tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta dal diritto dell’Unione, non possa essere garantita con altri mezzi. Secondo la Corte, la decisione sulle clausole contrattuali tipo non e’ rimessa in discussione dal solo fatto che non vincolano le autorita’ del Paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati. Tale validita’ dipende dalla questione se la contenga meccanismi efficaci che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilita’ di rispettarle. La Corte constata che la decisione 2010/87 instaura meccanismi di questo tipo sottolineando che stabilisce un obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato. Inoltre, la decisione impone al suddetto destinatario di informare l’esportatore dei dati della sua eventuale impossibilita’ di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo
Diversa la conclusione sull’esame della validita’ della decisione 2016/1250 rispetto ai requisiti risultanti dal regolamento Ue alla luce delle disposizioni della Carta che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale effettiva. La Corte rileva che la decisione sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo cosi’ possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo. La Corte rileva che, per taluni programmi di sorveglianza, dalla regolamentazione Ue non emerge in alcun modo l’esistenza di limiti all’autorizzazione dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorita’ statunitensi nell’attuare i programmi di sorveglianza considerati, ‘non conferisce agli interessati diritti nei confronti delle autorita’ statunitensi azionabili dinanzi ai giudici’
Quanto al requisito della tutela giurisdizionale, la Corte ritiene che, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, ‘il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione del 2016.
In virtù di questa clamorosa sentenza assunta dalla Corte di Giustizia UE, potrebbero emergere lunghe e costose dispute legali tra le parti creando importanti riflessi sulle attività delle multinazionali tecnologiche americane che operano sul continente europeo. In particolare, la sentenza potrebbe costringere alcune societa’ – tra cui giganti della tecnologia come Facebook, Alphabet e Apple – a decidere tra uno spostamento costoso dei data center in Europa o l’interruzione delle attivita’ con la regione.
