07 Ott La Corte di Giustizia dell’Unione europea censura il trasferimento dei dati personali da Stati membri verso gli Stati Uniti.
La Sentenza della Corte di Giustizia dell’Unione europea nella causa C-362/14 invalida la decisione 2000/52/EC 0 della Commissione, che considerava gli Stati Uniti un paese sicuro ai fini del trasferimento dei dati personali verso paesi non europei…
La decisione riteneva infatti che i «Principi di approdo sicuro in materia di riservatezza», applicati in conformità agli orientamenti forniti dalle «Domande più frequenti» (FAQ) pubblicate dal Dipartimento del commercio degli Stati Uniti, garantissero un livello adeguato di protezione dei dati personali trasferiti da Stati membri a server situati negli Stati Uniti.
Affianco alla declaratoria di invalidità dell’atto della Commissione, la Corte compie un’altra affermazione importante: l’esistenza di una decisione della Commissione, che constata che un paese terzo garantisce un adeguato livello di protezione dei dai personali, non impedisce alle autorità nazionali, adite dai singoli interessati, di esaminare in autonomia i reclami di persone che asseriscono lesi i propri diritti a causa del trasferimento dei loro dati personali verso il paese terzo considerato sicuro dalla decisione della Commissione.
La sentenza interviene su una questione pregiudiziale che ha origine in una controversia tra il sig. M. S. e il Data Protection Commissioner irlandese, relativa al trasferimento dei dati personali del primo, ad opera di una filiale irlandese del noto social network Facebook, su server situati negli Stati Uniti. Il DPC aveva rigettato il reclamo del sig. S. sostenendo che la decisione 2000/520/EC precludesse uno scrutinio, da parte dell’autorità nazionale di controllo, sull’adeguatezza della tutela apprestata degli Stati Uniti. Il sig. S. si rivolgeva pertanto alla High Court of Ireland, la quale adiva in via pregiudiziale la Corte di Giustizia dell’Ue con questioni vertenti sull’interpretazione dell’articolo 25, paragrafo 6 , della direttiva 95/46/CE. La High Court chiedeva alla Corte di Giustizia dell’Ue quali poteri residuassero in capo alle autorità nazionali di controllo in materia di dati personali, in presenza di una decisione della Commissione costatante la sicurezza di un paese terzo verso il quale si effettua un trasferimento di dati. In altri termini la domanda posta dalla High Court è se l’autorità nazionale di controllo possa assumere una posizione difforme da quella della Commissione o sia invece vincolata alla decisione.
Il ragionamento della Corte prende le mosse dall’interpretazione degli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea o Carta di Nizza, i quali esprimono il preminente rilievo non solo del diritto al rispetto della vita privata, ma anche del diritto alla protezione dei dati personali di per sé, constatando dunque la necessità di un elevato livello di tutela di entrambi questi diritti fondamentali.
Successivamente la Corte analizza la posizione delle autorità nazionali di controllo, le quali devono assicurare il bilanciamento tra il diritto alla riservatezza della vita privata e dei dati personali e le altre esigenze che con questo possono confliggere, quali quelle connesse alla libera circolazione di tali dati. Le autorità godono di un’indipendenza particolare finalizzata ad assicurare che il controllo sul rispetto della normativa a protezione dei dati personali sia effettivo.
Dopo aver così inquadrato i poteri delle autorità nazionali la Corte procede ad esaminare gli effetti che possono derivare dalla decisione della Commissione, che, ai sensi dell’articolo 288 TFUE, è vincolante in tutti i suoi elementi ed ha come destinatari tutti gli Stati membri e, di conseguenza, i loro organi.
Tuttavia, se è vero che la decisione è vincolante e pertanto anche le autorità nazionali sono tenute ad applicarla, è anche vero che una tale decisione non può avere l’effetto di circoscrivere e limitare la competenza della autorità nazionali, come disciplinata dalla direttiva stessa e dalle legislazioni nazionali di recepimento. Cosicché, a fronte di una richiesta di una persona che asserisca violati i suoi diritti a causa del trasferimento dei suoi dati in un paese terzo, ritenuto sicuro dalla Commissione con decisione ex art. 25, paragrafo 6, ma che la persona stessa ritenga insicuro perché dotato di normative e pratiche sul trattamento dei dati inadeguate, l’autorità è tenuta ad esaminare il caso. Qualora poi ritenesse, con l’istante, che effettivamente la decisione della Commissione abbia erroneamente ritenuto sicuro il paese terzo, potrà attivare tutti i canali nazionali perché possa essere sollevata una questione pregiudiziale, vertente sulla validità di tale decisione, innanzi alla Corte di Giustizia dell’Unione europea. Infatti, afferma la Corte, la decisione della Commissione adottata ai sensi dell’articolo 25, paragrafo 6, non pone affatto una pietra tombale sull’esame delle domande ricevute dalle autorità nazionali, quando tali reclami lamentano una lesione del diritto alla protezione dei dati personali a causa di un trasferimento verso il paese terzo su cui la Commissione si è espressa positivamente. Tali domande vanno tuttavia intese come vertenti sulla legittimità di una simile decisione della Commissione, scrutinio che è però riservato in via esclusiva alla Corte di Giustizia dell’Unione europea.
Quindi, riformulata così la questione, la Corte passa ad esaminare la validità della decisione della Commissione, definendo il significato di livello di tutela adeguato, richiesto dalla direttiva, e identificandolo in un livello di tutela almeno equivalente nella sostanza a quello predisposto nell’Ue mediante la direttiva 95/46, letta alla luce della Carta di Nizza. La Commissione, per poter constatare l’adeguatezza della tutela garantita dal paese extraeuropeo, deve esaminare la legislazione di quel paese e i suoi impegni internazionali e deve altresì monitorare periodicamente la permanenza di quel livello di tutela ritenuto adeguato. Specularmente la Corte, in sede di scrutinio della validità della decisione, deve valutare le circostanze sopravvenute a quella.
La Corte procede quindi ad una serie di rilievi sulla decisione della Commissione che riguardano: il fatto che le organizzazioni aderiscono al regime safe harbour mediante una semplice autocertificazione; il fatto che il regime safe harbour sia applicabile solo a soggetti privati e infine il fatto che la decisione della Commissione si sia limitata ad esaminare il solo regime dell’approdo sicuro e non l’intera normativa statunitense in materia. Per comprendere i rilievi della Corte bisogna prima che si accenni al contenuto della decisione invalidata. La decisione della Commissione afferma che:
• i principi safe harbour del Dipartimento del commercio degli Stati Uniti del 21 luglio 2000, applicati conformemente agli orientamenti del Dipartimento del commercio espressi nelle FAQ pubblicate dallo stesso, garantiscono un livello adeguato di protezione dei dati personali;
• pertanto il trasferimento dei dati personali negli Stati Uniti è consentito a quelle organizzazioni che si sono impegnate chiaramente e pubblicamente a conformarsi a tali principi e alle FAQ;
• il trasferimento dei dati è dunque possibile, per le organizzazioni che autocertifichino la loro adesione ai principi al Dipartimento per il commercio degli Stati Uniti;
• i principi safe harbour si applicano solo alle organizzazioni private, incontrano un limite generale nelle disposizioni a tutela della sicurezza nazionale e dell’interesse pubblico e sono comunque subordinate alle leggi, ai regolamenti amministrativi e alle decisioni giudiziali, per cui, dinnanzi a conflitti tra norme, prevale sempre e comunque la legislazione statunitense in materia e comunque sono preponderanti le esigenze di tutela della sicurezza nazionale.
Date queste premesse, la Corte non può che censurare la decisione 2000/520/EC della Commissione, la quale ha esaminato solo in parte l’ordinamento statunitense, nel quale non si rinvengono norme a tutela dei dati personali trasferiti dall’Unione europea, se non la normativa cedevole costituita dai principi safe harbour.
Alle deficienze dell’esame effettuato dalla Commissione si aggiunga che, successivamente alle note vicende legate alle rivelazioni dell’ex agente dell’Nsa Edward Snowden, la Commissione stessa ha riconosciuto, con due comunicazioni (la COM (2013)846 e la COM(2013)847), che in effetti le ingerenze delle autorità pubbliche statunitensi vanno ben al di là delle esigenze strettamente connesse alle finalità di protezione della sicurezza nazionale. Così, messa a nudo a livello globale l’eccessività dei trattamenti effettuati sui dati personali conservati presso server statunitensi, non potevano non essere rilevati non solo l’inadeguatezza della normativa statunitense, ma addirittura il contrasto tra questa, che consente alle autorità pubbliche un accesso generalizzato e indiscriminato ai dati personali e ai contenuti delle comunicazioni elettroniche, senza che sia possibile alcun rimedio per gli interessati, e i diritti riconosciuti nella direttiva 95/46 e nella Carta di Nizza.
La sentenza avrà certamente effetti dirompenti per le imprese americane che operano nell’Unione europea e trasferiscono dati nei loro server negli Stati Uniti, come dimostra l’attenzione della stampa, anche non specialistica, verso questa pronuncia.
Il caso Snowden certamente ha avuto il suo peso nella determinazione della Corte, avendo rivelato le massicce e indiscriminate intromissioni delle autorità statunitensi nei confronti dei dati personali anche di cittadini europei.
La Commissione, a ridosso della pubblicazione della pronuncia, ha subito ribadito il suo impegno per un’efficace e adeguata difesa dei diritti fondamentali dei cittadini europei in materia di protezione dei dati personali, sottolineando comunque l’importanza di non interrompere il flusso transatlantico dei dati, definiti, dalla Commissaria Vera Jourovà “la spina dorsale della nostra economia”.
Certo è che dato che la direttiva stabilisce che il trasferimento verso un paese terzo può avere luogo solo se il livello di tutela in quel paese è adeguato – nell’interpretazione della Corte, sostanzialmente equivalente a quello europeo – e tale non si è dimostrato quello statunitense, è di cruciale importanza stabilire in che modo e soprattutto con quali limiti potrà avvenire d’ora in poi il trasferimento di dati verso gli Stati Uniti da parte di organizzazioni statunitensi che operano in Europa, le quali come noto sono numerose e non di lieve momento. Questo compito rimane affidato alla Commissione e alle singole autorità nazionali di controllo.
Testo integrale della sentenza
CELEX-62014CJ0362-EN-TXT
Testo integrale della decisione della Commissione 2000/520
CELEX_32000D0520_IT_TXT
Dichiarazione della Commissione, del 06.10.2015, sulla sentenza C-362/14
STATEMENT-15-5782_EN