Stop al Privacy Shield: quale sorte per i dati personali trasferiti all'estero?
La Corte di Giustizia Europea fa tremare il colosso Facebook e dichiara invalida la decisione 2016/1250 della Commissione Europea sull’adeguatezza della protezione dei dati personali prevista dal c.d. Privacy Shield.
Con la sentenza del 16.07.2020 nella causa C-311/18, la Corte di Giustiza Europea risponde alle questioni pregiudiziali sollevate nel procedimento promosso dal Data Protection Commissioner nei confronti di Facebook Ireland Ltd e Maximilian Scherms.
Nel 2013 il cittadino austriaco, Maximillian Schrems, iscritto a Facebook, presentava denuncia all’autorità Irlandese di controllo, chiedendo che a Facebook venisse vietato di trasferire i dati dal proprio Paese di origine agli USA, nello specifico alla società Facebook Inc., poiché il diritto americano non consentiva una protezione adeguata contro l’accesso ai dati personali da parte delle Pubbliche Autorità degli USA. All’epoca della denuncia, tuttavia, era ancora in vigore la direttiva 95/46/CE e, pertanto, il livello di protezione offerto dagli Stati Uniti era stato ritenuto adeguato e, di conseguenza, la richiesta di Schrems venne respinta.
Nel 2015, la Corte di Giustizia Europea dichiarava invalido l’accordo denominato Safe Harbour, che disciplinava il trasferimento dei dati personali verso gli Stati Uniti. Nel 2016, veniva, quindi, siglato il c.d. Privacy Shield, da lì in poi largamente utilizzato da moltissime società tecnologiche americane (Facebook, Google, Apple, Mailchimp ecc.)
Alla luce della dichiarazione di invalidità del precedente accordo, il sig. Maximillian Schrems riproponeva la denuncia, chiedendo che i suoi dati venissero riportati in Europa e la loro cancellazione, con il divieto che, in futuro, i suoi dati potessero essere trasferiti.
Occorre precisare che la base giuridica che legittimava il trasferimento dei dati, allora, era la decisione 2010/87 ossia le clausole contrattuali tipo e pertanto, veniva presentata una domanda di pronuncia pregiudiziale sulla validità di tali clausole.
Nel frattempo, veniva emanato il regolamento europeo sulla protezione dei dati e la Commissione adottava la decisione 2016/1250 il c.d. Privacy Shield, appunto.
La Corte di Giustizia Europea è stata chiamata a pronunciarsi sia sull’interpretazione e la validità della decisione 2010/87/UE, sia sulla decisione di esecuzione 2016/1250. La Corte ha esaminato la prima decisione 2010/87 sulle clausole contrattuali tipo, riscontrando che questa, pur basandosi su clausole contrattuali non vincolanti per gli Stati al loro rispetto, contiene meccanismi efficaci che consentono, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle.
La decisione della Corte di Giustizia Europea apre un importante vulnus sulle modalità con cui le grandi aziende americane informatiche possono trattare i dati personali dei cittadini europei.
Secondo la Corte di Giustizia Europea, infatti, il c.d Privacy Shield non è idoneo a garantire un livello di protezione sostanzialmente equivalente a quello risultante dalla Carta dei diritti fondamentali dell’Unione Europea, “contrariamente a quanto richiesto dall’art. 45, paragrafo 2, lettera a), del RGDP, secondo il quale la constatazione di tale livello dipende, in particolare, dall’esistenza dei diritti effettivi e azionabili di cui godono le persone i cui dati sono stati trasferiti verso il paese terzo di cui trattasi”. E prosegue affermando che, “nel caso di specie, la constatazione da parte della Commissione, nella decisione , che gli Stati Uniti assicurano un livello di protezione sostanzialmente equivalente a quello garantito dall’articolo 47 della Carta, è stata rimessa in discussione, in particolare, del rilievo che l’istituzione del Mediatore dello scudo per la privacy non può colmare le lacune constate dalla Commissione stessa per quanto riguarda la tutela giurisdizionale delle persone i cui dati personali sono trasferiti verso tale paese terzo”.
La Corte rileva che, negli Stati Uniti, prevalgono sempre le esigenze attinenti alla sicurezza nazionale, all’interesse pubblico, di tal che non possono escludersi possibili interferenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo. Il Mediatore per lo scudo non ha un’effettiva indipendenza rispetto al potere esecutivo, così come non ha la possibilità di adottare decisioni vincolanti nei confronti dei servizi di intelligence.
Inoltre, non fornisce alle persone i cui dati sono stati trasferiti verso gli Stati Uniti alcun valido mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
Stabilisce tuttavia che l’annullamento di detta decisione non crea alcuna lacuna giuridica, vista la sussistenza dell’art. 49 del GDPR, il quale stabilisce in modo preciso le condizioni per il trasferimento dei dati verso paesi terzi in assenza di una decisione di adeguatezza.
Ne consegue che, per il trasferimento dei dati verso paesi extra UE, sarà necessaria l’esistenza di una sola delle condizioni elencate nel citato art. 49 GDPR, tra cui ricordiamo:
Con la sentenza del 16.07.2020 nella causa C-311/18, la Corte di Giustiza Europea risponde alle questioni pregiudiziali sollevate nel procedimento promosso dal Data Protection Commissioner nei confronti di Facebook Ireland Ltd e Maximilian Scherms.
Nel 2013 il cittadino austriaco, Maximillian Schrems, iscritto a Facebook, presentava denuncia all’autorità Irlandese di controllo, chiedendo che a Facebook venisse vietato di trasferire i dati dal proprio Paese di origine agli USA, nello specifico alla società Facebook Inc., poiché il diritto americano non consentiva una protezione adeguata contro l’accesso ai dati personali da parte delle Pubbliche Autorità degli USA. All’epoca della denuncia, tuttavia, era ancora in vigore la direttiva 95/46/CE e, pertanto, il livello di protezione offerto dagli Stati Uniti era stato ritenuto adeguato e, di conseguenza, la richiesta di Schrems venne respinta.
Nel 2015, la Corte di Giustizia Europea dichiarava invalido l’accordo denominato Safe Harbour, che disciplinava il trasferimento dei dati personali verso gli Stati Uniti. Nel 2016, veniva, quindi, siglato il c.d. Privacy Shield, da lì in poi largamente utilizzato da moltissime società tecnologiche americane (Facebook, Google, Apple, Mailchimp ecc.)
Alla luce della dichiarazione di invalidità del precedente accordo, il sig. Maximillian Schrems riproponeva la denuncia, chiedendo che i suoi dati venissero riportati in Europa e la loro cancellazione, con il divieto che, in futuro, i suoi dati potessero essere trasferiti.
Occorre precisare che la base giuridica che legittimava il trasferimento dei dati, allora, era la decisione 2010/87 ossia le clausole contrattuali tipo e pertanto, veniva presentata una domanda di pronuncia pregiudiziale sulla validità di tali clausole.
Nel frattempo, veniva emanato il regolamento europeo sulla protezione dei dati e la Commissione adottava la decisione 2016/1250 il c.d. Privacy Shield, appunto.
La Corte di Giustizia Europea è stata chiamata a pronunciarsi sia sull’interpretazione e la validità della decisione 2010/87/UE, sia sulla decisione di esecuzione 2016/1250. La Corte ha esaminato la prima decisione 2010/87 sulle clausole contrattuali tipo, riscontrando che questa, pur basandosi su clausole contrattuali non vincolanti per gli Stati al loro rispetto, contiene meccanismi efficaci che consentono, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle.
La decisione della Corte di Giustizia Europea apre un importante vulnus sulle modalità con cui le grandi aziende americane informatiche possono trattare i dati personali dei cittadini europei.
Secondo la Corte di Giustizia Europea, infatti, il c.d Privacy Shield non è idoneo a garantire un livello di protezione sostanzialmente equivalente a quello risultante dalla Carta dei diritti fondamentali dell’Unione Europea, “contrariamente a quanto richiesto dall’art. 45, paragrafo 2, lettera a), del RGDP, secondo il quale la constatazione di tale livello dipende, in particolare, dall’esistenza dei diritti effettivi e azionabili di cui godono le persone i cui dati sono stati trasferiti verso il paese terzo di cui trattasi”. E prosegue affermando che, “nel caso di specie, la constatazione da parte della Commissione, nella decisione , che gli Stati Uniti assicurano un livello di protezione sostanzialmente equivalente a quello garantito dall’articolo 47 della Carta, è stata rimessa in discussione, in particolare, del rilievo che l’istituzione del Mediatore dello scudo per la privacy non può colmare le lacune constate dalla Commissione stessa per quanto riguarda la tutela giurisdizionale delle persone i cui dati personali sono trasferiti verso tale paese terzo”.
La Corte rileva che, negli Stati Uniti, prevalgono sempre le esigenze attinenti alla sicurezza nazionale, all’interesse pubblico, di tal che non possono escludersi possibili interferenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo. Il Mediatore per lo scudo non ha un’effettiva indipendenza rispetto al potere esecutivo, così come non ha la possibilità di adottare decisioni vincolanti nei confronti dei servizi di intelligence.
Inoltre, non fornisce alle persone i cui dati sono stati trasferiti verso gli Stati Uniti alcun valido mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.
Stabilisce tuttavia che l’annullamento di detta decisione non crea alcuna lacuna giuridica, vista la sussistenza dell’art. 49 del GDPR, il quale stabilisce in modo preciso le condizioni per il trasferimento dei dati verso paesi terzi in assenza di una decisione di adeguatezza.
Ne consegue che, per il trasferimento dei dati verso paesi extra UE, sarà necessaria l’esistenza di una sola delle condizioni elencate nel citato art. 49 GDPR, tra cui ricordiamo:
- L’interessato abbia esplicitamente acconsentito al trasferimento, dopo essere stato informato dei rischi dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;
- Il trasferimento sia necessario in esecuzione di un contratto concluso tra il titolare del trattamento e l’interessato;
- Importanti motivi di interesse pubblico;
- Esercizio di un diritto in sede giudiziaria;
- Tutela di interessi vitali dell’interessato o di altre persone, qualora l’interessato non sia nella capacità fisica o giuridica di esprimere il consenso.
Da questa decisione ne deriva che tutte le società che risiedono in USA e che consentono il trasferimento sulla base della loro adesione al privacy shield, devono fare ricorso ad un’altra base giuridica di cui al titolo V per poter trattare i dati personali dei loro clienti.