1. Le varie tappe della vicenda
La CGUE il 6 ottobre 2015 aveva già smantellato il sistema “Safe Harbour”, che consentiva i trasferimenti di dati tra Unione Europea e Stati Uniti, nel famoso caso “Schrems I”.
In seguito a questa sentenza, Facebook Ireland ha continuato a trasferire dati ai server statunitensi, ma sulla base di clausole contrattuali standard ai sensi della Decisione 2010/87 della Commissione.
A fronte della richiesta di Schrems di cessare e proibire ogni trasferimento di dati negli USA visto che, a detta dell’attivista, la legislazione nordamericana in materia non fornirebbe sufficienti protezioni per i cittadini europei, l’Autorità garante privacy irlandese si è quindi trovata a dover decidere sulla validità della Decisione 2010/87, portando la questione di fronte alla High Court.
Nel frattempo, è intervenuta la Decisione 2016/1250 della Commissione, che ha stabilito l’adeguatezza del sistema di trasferimento dati tra Unione Europea e Stati Uniti detto “Privacy Shield”.
2. Le questioni di fronte alla Corte di Giustizia Europea
La High Court irlandese ha quindi posto le seguenti domande alla CGUE:
se il GDPR sia applicabile ai trasferimenti di dati personali che avvengono sulla base di clausole contrattuali standard ai sensi della Decisione 2010/87;
quale livello di protezione sia richiesto dal GDPR in relazione a tali trasferimenti;
quali siano i compiti delle Autorità garanti in queste circostanze;
Infine, la High Court ha chiesto alla CGUE di pronunciarsi in ordine alla validità della Decisione 2010/87 e della Decisione 2016/1250.
3. Le precisazioni della CGUE sui trasferimenti internazionali di dati
La Corte di Giustizia ha innanzitutto sottolineato che il GDPR si applica ai trasferimenti di dati tra operatori economici stabiliti uno nell’Unione e uno in un Paese terzo anche se questi dati, nel momento del trasferimento o in seguito, potrebbero essere trattati dalle autorità del Paese terzo per fini di difesa o pubblica sicurezza. Il livello di protezione che deve essere assicurato ai dati così trasferiti deve essere sostanzialmente equivalente a quello garantito nell’Unione e deve essere valutato tenendo in considerazione sia le clausole contrattuali presenti in accordi tra l’esportatore e l’importatore di dati sia gli aspetti rilevanti del sistema legale del Paese terzo. Le Autorità garanti privacy se si rendono conto che, viste le circostanze del trasferimento, le clausole contrattuali standard non possono essere rispettate e la protezione dei dati dei cittadini europei non può essere assicurata in altro modo, devono sospendere o proibire il trasferimento dei dati verso quel Paese.
4. La CGUE si pronuncia sulla validità della Decisione 2010/87
La CGUE si è poi pronunciata sulla validità della Decisione 2010/87 della Commissione sulle clausole contrattuali standard. La Corte ha osservato che tale decisione stabilisce dei meccanismi che, da un lato, rendono possibile assicurare nella pratica il livello di protezione richiesto dalla legislazione europea e, dall’altro, fanno sì che i trasferimenti di dati personali che si basano su tali clausole vengano sospesi o vietati nel caso in cui queste siano violate o sia impossibile rispettarle. Oltretutto, la Decisione 2010/87 impone un obbligo in capo all’esportatore e all’importatore di dati di verificare, precedentemente a ogni trasferimento, se il livello di protezione dei dati garantito nell’Unione sia mantenuto; l’importatore dei dati deve, inoltre, informare l’esportatore nel caso in cui fosse in alcun modo impossibilitato a rispettare le clausole contrattuali standard, così che il contratto tra i due possa essere terminato. Alla luce di queste considerazioni, la Corte di Giustizia ha affermato che la Decisione in questione resta valida.
5. L’annullamento del Privacy Shield
La decisione ha preso infine una piega favorevole alle istanze di Schrems e dei vari attivisti che negli ultimi anni avevano sollevato dubbi in merito alla legittimità dell’accordo “Privacy Shield” tra Unione Europea e Stati Uniti. La Corte ha infatti dichiarato invalida la Decisione 2016/1250 della Commissione con la quale era stata decisa l’adeguatezza di tale meccanismo. Le ragioni di questo cambio di rotta sono essenzialmente dovute alle limitazioni alla protezione dei dati personali derivanti dalle leggi statunitensi sull’accesso e utilizzo di questi dati da parte delle autorità pubbliche, oltre che all’assenza di rimedi giudiziali che presentino effettive garanzie per i diritti dei cittadini. La Corte ha affermato che i programmi di sorveglianza delle autorità degli USA non sono limitati allo stretto necessario e, dunque, non rispettano il principio di proporzionalità. Inoltre, il meccanismo di ricorso al mediatore cui fa riferimento la Decisione 2016/1250 non fornisce agli interessati alcuna possibilità di agire di fronte a un organo che offra le stesse garanzie presenti nella legislazione europea: il mediatore, di cui non sarebbe comunque possibile verificare l’indipendenza, non avrebbe il potere di prendere delle decisioni vincolanti per i servizi di intelligence statunitensi.
6. Conclusioni
La sentenza del caso “Schrems II” apre una nuova fase nell’annosa questione riguardante i trasferimenti di dati personali dall’Unione Europea agli Stati Uniti. Ancora una volta le imprese si trovano a operare in assenza di una decisione di adeguatezza della Commissione, per cui molte saranno costrette a rivedere i propri sistemi di trasferimento di dati. Inoltre, il fatto che la Decisione 2010/87 resti in piedi non può significare un utilizzo indiscriminato delle clausole contrattuali standard per i trasferimenti di dati negli USA, dovendo valutare caso per caso se i requisiti richiesti dalla CGUE sono rispettati – un compito non facile, viste le critiche sollevate dalla Corte ai sistemi statunitensi di protezione della privacy degli individui.
Altalex
