Schrems II: il no della Corte di Giustizia al privacy shield

Sommario: 1. Premessa – 2. Il caso – 3. La sentenza Schrems I – 4. La sentenza Schrems II

1. Premessa

Lo scorso 16 luglio 2020 la Corte di giustizia dell’Unione Europea ha dichiarato l’invalidità della decisione 2016/1250[i] della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (“Privacy Shield”), stante il mancato rispetto delle garanzie previste dal Regolamento Generale sulla Protezione dei dati (di seguito GDPR)[ii].

Lo “scudo UE-USA per la privacy” si presentava come un accordo idoneo a regolamentare il trasferimento dei dati personali verso gli Stati Uniti nel rispetto di una serie di principi enunciati al suo interno, tra i quali il principio sull’integrità, sulla sicurezza dei dati, sull’accesso e sulla responsabilità in caso di successivi trasferimenti.

La decisione, inoltre, prevedeva sistemi di vigilanza e controllo idonei a verificare il rispetto dei principi da parte delle società che certificavano l’adesione al sistema.

Per comprendere, dunque, la portata della pronuncia in commento è opportuno conoscere e approfondire gli antecedenti.

2. Il caso

La vicenda[iii] trae origine dalla denuncia presentata nel 2013 dall’attivista austriaco Maxime Schrems all’Autorità per la protezione dei dati personali dell’Irlanda (Data Protection Commissioner) alla luce delle rivelazioni del sig. Snowden sulle attività dei servizi di intelligence degli Stati Uniti, con la finalità di impedire a Facebook Ireland il trasferimento dei suoi dati personali alla controllante Facebook Inc. con sede negli Stati Uniti, sulla base di presunte irregolarità nella normativa statunitense in ordine alla protezione dei dati stessi.

La denuncia, in un primo momento, è stata respinta in quanto ritenuta priva di fondamento sulla base della Decisione 2000/520/CE[iv] del 26 luglio 2000, a norma della direttiva 95/46/CE sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti, con la quale la Commissione europea aveva confermato l’adeguatezza del livello di protezione garantito dagli USA.

Successivamente, il sig. Schrems ha adito l’High Court irlandese che ha presentato una domanda di pronuncia pregiudiziale alla Corte di giustizia dell’Unione Europea (di seguito CGUE) affinché si pronunciasse in merito alla validità della Decisione 2000/520/CE.

3. La sentenza Schrems I

La Corte[v] ha affermato, in primo luogo, come la Commissione potesse adottare, sulla base dell’articolo 25, paragrafo 6, della direttiva 95/46/CE, una decisione idonea a confermare la sussistenza di un adeguato livello di protezione dei dati personali da parte del paese terzo verso il quale i dati stessi vengono trasferiti.

Trattandosi di una decisione vincolante per gli Stati membri destinatari, si prevedeva da un lato il divieto di adottare misure contrarie, ma, dall’altro, la possibilità per i soggetti interessati di richiedere un intervento da parte delle autorità nazionali di controllo atto a verificare, in modo indipendente, che fosse garantita un’efficace protezione dei datti personali trasferiti.

La CGUE concludeva, dunque, come l’adozione di una decisione, come quella del caso di specie, non potesse risultare ostativa di un intervento da parte dell’autorità di uno Stato membro sulla base dell’istanza di un cittadino relativa al trattamento dei propri dati personali.

Quanto alla valutazione circa la validità della decisione la Corte sottolineava come, alla luce dell’allegato I, la sussistenza di «esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia»[vi] degli Stati Uniti potesse prevalere rispetto ai principi dell’approdo sicuro in tema di riservatezza dei dati, con conseguenti notevoli ingerenze da parte delle autorità pubbliche americane e la disapplicazione dei principi stessi.

Ne derivava, pertanto, la dichiarazione di invalidità della decisione 2000/520/CE.

A seguito della pronuncia, il sig. Schrems otteneva la possibilità di riformulare la denuncia originariamente presentata chiedendo che fosse sospeso o vietato il trasferimento dei dati personali verso gli Stati Uniti, operazione che veniva eseguita in maniera conforme alle clausole contrattuali tipo sulla protezione dei dati previsti dalla decisione 2010/87/UE[vii].

L’High court, nel 2018, chiamava nuovamente la Corte di Lussemburgo[viii] a pronunciarsi in via pregiudiziale, ma in merito a diverse questioni[ix].

4. La sentenza Schrems II

In primo luogo, la domanda verteva sull’interpretazione e la validità della decisione 2010/87/UE della Commissione e della decisione di esecuzione (UE) 2016/1250, già menzionata.

Prima di entrare in medias res è opportuno ricordare che le questioni sottoposte alla Corte sono state decise sulla base del GDPR che ha sostituito la direttiva 95/46/CE a partire dal 2018.

Il regolamento prevede che il trasferimento di dati personali verso paesi terzi possa avvenire mediante tre diversi meccanismi[x]: Decisione di adeguatezza adottata dalla Commissione europea sulla base di una pluralità di elementi (art. 45 GDPR); Garanzie adeguate da parte del titolare o del responsabile del trattamento dei dati e adeguati mezzi di ricorso per i soggetti interessati (art. 46 GDPR); Deroghe espressamente previste dall’art. 49 GDPR.

Il regolamento, in sostanza, mira a garantire una tutela dei dati, da parte dei paesi terzi, adeguata e conforme alle garanzie riconosciute dagli stati dell’Unione.

Tra gli strumenti indicati all’art. 46 GDPR sono ricomprese le clausole contrattuali tipo per il trasferimento dei dati personali disciplinate dalla decisione 2010/87/UE, oggetto del sindacato della Corte.

La Corte, dunque, ha affermato come la valutazione circa l’adeguatezza delle garanzie adottate dal paese terzo debba essere rapportata al diritto dell’Unione ed effettuata sulla base dei principi sanciti dalla Carta dei diritti fondamentali dell’Unione Europea.

In merito alla questione concernente la validità della decisione rispetto agli artt. 7, 8 e 47 della Carta, i giudici di Lussemburgo hanno ricordato il dettato normativo dell’art. 1 della decisione, nella parte in cui dispone che «Le clausole contrattuali tipo riportate in allegato costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e della libertà fondamentali delle persone»[xi].

Ad ogni modo, sebbene le clausole in questione possano vincolare il titolare del trattamento membro dell’Unione e il paese terzo destinatario dei dati trasferiti, in quanto parti del contratto avente ad oggetto il trasferimento di dati, è chiaro come le stesse clausole non possano sortire il medesimo effetto nei confronti delle autorità del paese terzo estraneo al contratto in questione.

Ne deriverebbe il rischio di ingerenze nei diritti delle persone cui i dati trasferiti fanno riferimento.

La CGUE richiama, in materia, le clausole tipo di protezione dei dati adottate dalla Commissione e previste dall’art. 46, paragrafo 2, lett. c, a riprova della sussistenza di meccanismi efficaci che permettano di garantire la tutela dei dati personali fino alla sospensione o al divieto di trasferimento in caso di violazione delle clausole predisposte.

Alla luce di tali riflessioni, i giudici di Lussemburgo hanno confermato la validità della decisione 2010/87/CE.

In merito alla validità della decisione “Privacy Shield”, invece, la CGUE ha avuto modo di osservare come, sebbene, secondo l’art. 1 della decisione, gli Stati Uniti garantiscano un adeguato livello di protezione dei dati trasferiti dall’Unione, si precisa nel testo che l’adesione ai principi dello “scudo per la privacy” può essere limitata da «esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia»[xii].

Alla luce di simili considerazioni emerge il contrasto con la tutela dei diritti dei soggetti interessati e dei relativi dati personali sancita dagli artt. 7 e 8 della Carta.

Si comprende, infatti, come ingerenze da parte delle autorità potrebbero risultare lesive del diritto al rispetto della propria via privata e familiare e alla protezione dei propri dati personali.

La Corte, pertanto, ha affermando come la decisione in esame non garantisca lo stesso livello di tutela predisposto dal diritto dell’Unione, di cui richiama l’art. 52 della carta[xiii], quale argine ad interventi limitativi dei diritti e delle libertà della persona, in ossequio al principio di proporzionalità.

In ultima analisi è stata evidenziata la carenza di un effettivo rimedio giurisdizionale contro il trasferimento dei dati personali verso un paese terzo, riconosciuto invece dall’art. 47 della Carta[xiv].

Sancita, pertanto, anche l’inidoneità del meccanismo della mediazione, alla luce della mancanza di indipendenza del mediatore e della possibilità di assumere decisioni vincolanti per le autorità statunitensi, la Corte ha invalidato in toto la decisione di esecuzione (UE) 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

Il clima di incertezze generato dalla decisione della Corte di giustizia ha reso necessario l’intervento del Comitato europeo per la protezione dei dati (EDPB) che ha pubblicato un documento contenente le risposte alle domande più frequenti (FAQ)[xv] sulla sentenza Schrems II, sui suoi effetti e sulle modalità di trasferimento dei dati negli Stati Uniti, in attesa di un intervento normativo che possa uniformare la disciplina.

[i] Decisione di esecuzione (UE) 2016/1250, in www.eur-lex.europa.eu.

[ii] Regolamento 2016/679/UE, in www.eur-lex.europa.eu.

[iii] Sul punto: Guida S., Caso Schrems II: Corte di Giustizia dell’Unione Europea invalida la Decisione della Commissione sull’adeguatezza della protezione fornita dallo “scudo UE-USA per la privacy” (Privacy Shield), in www.dataprotectionlaw.it.

[iv] Decisione 2000/520/CE, in www.eur-lex.europa.eu.

[v] Sentenza della Corte di giustizia C- 362/14 del 6 ottobre 2015, in www.curia.europa.eu; si veda anche il comunicato stampa n. 177/15, in www.curia.europa.eu.

[vi] Allegato I alla decisione 2000/520/CE, principi di approdo sicuro (SAFE HARBOR), in www.eur-lex.europa.eu.

[vii] Decisione 2010/87/UE, in www.eur-lex.europa.eu.

[viii] Sentenza della Corte di giustizia C- 311/18 del 16 luglio 2020, in www.curia.europa.eu.

[ix] Si vedano: Marini P., Il “Lato B” della sentenza “Schrems II” è un pesante caveat sul ricorso alle clausole tipo, in www.federprivacy.org; Masnada M., Schrems II: la sentenza della Corte UE sul Privacy Shield e gli effetti sui trasferimenti extra-UE dei dati personali, in www.dirittobancario.it; Vidal G., I trasferimenti di dati verso gli USA dopo la sentenza “Schrems II”, in www.privacy.it.

[x] In argomento: Guida S., Caso Schrems II: Corte di Giustizia dell’Unione Europea invalida la Decisione della Commissione sull’adeguatezza della protezione fornita dallo “scudo UE-USA per la privacy” (Privacy Shield), cit.

[xi] Art. 1 decisione UE 2016/1250 in www.eur.lex.europa.eu.

[xii] Allegato II, punto 1.5 della decisione UE 2016/1250 in www.eur-lex.eu.

[xiii] «1. Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. 2. I diritti riconosciuti dalla presente Carta che trovano fondamento nei trattati comunitari o nel trattato sull’Unione europea si esercitano alle condizioni e nei limiti definiti dai trattati stessi. 3. Laddove la presente Carta contenga diritti corrispondenti a quelli garantiti dalla convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, il significato e la portata degli stessi sono uguali a quelli conferiti dalla suddetta convenzione. La presente disposizione non preclude che il diritto dell’Unione conceda una protezione più estesa».

[xiv] «Ogni individuo i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo. Ogni individuo ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni individuo ha la facoltà di farsi consigliare, difendere e rappresentare. A coloro che non dispongono di mezzi sufficienti Ł concesso il patrocinio a spese dello Stato qualora ciò sia necessario per assicurare un accesso effettivo alla giustizia».

[xv] www.edpb.europa.eu.

The following two tabs change content below.

• Bio
• Latest Posts

Ilenia Vitobello

Ilenia Vitobello, nata a Trani (BT) il 18 maggio 1997. Ha conseguito il diploma di maturità classica presso il Liceo Classico "A. Casardi" di Barletta con votazione 100/100 e Lode. Termina il corso di laurea magistrale a ciclo unico in Giurisprudenza presso l'Università LUISS Guido Carli il 6 luglio 2020, con votazione 110/110 e Lode, discutendo una tesi in diritto penale dal titolo "Il trattamento punitivo dei sex offender". Attualmente svolge la pratica forense presso uno Studio Legale di Roma.

Latest posts by Ilenia Vitobello (see all)

• La detenzione di sostanze stupefacenti: tra favoreggiamento e responsabilità concorsuale - 16 December 2021
• Le Sezioni Unite sull’aggravante della minorata difesa - 13 November 2021
• La rinnovazione dell’istruttoria dibattimentale alla luce del principio dell’equo processo - 18 April 2021