Blog

Corte di Giustizia invalida accordo sul trasferimento dei dati negli Usa: “Gli Stati possono opporsi a migrazione verso server americani”. Soro: “Al lavoro per individuare linee-guida comuni”. Gruppo Art. 29: “Subito discussione tra esperti, a breve riuni

La decisione della Commissione europea del 26 luglio 2000 con la quale si riteneva che, nel contesto del cosiddetto regime di safe harbour, gli Stati Uniti garantissero un livello adeguato di protezione dei dati personali trasferiti dall’Europa verso server americani, è stata invalidata dalla Corte di Giustizia dell’Ue; gli Stati possono dunque sospendere tale trasferimento se lo ritengono opportuno. La sentenza arriva a poche settimane dalla presa di posizione dell’avvocato generale Yves Bot nelle conclusioni in merito al procedimento scaturito da una denuncia presentata nel 2013 presso l’autorità irlandese per la protezione dei dati da un utente austriaco di Facebook a seguito delle rivelazioni di Edward Snowden sulle pratiche dei servizi di intelligence americani alla base del cosiddetto Datagate. La Corte, sposando sostanzialmente il punto di vista di Bot, ha così affermato che “l’autorità irlandese di controllo è tenuta a esaminare la denuncia di Schrems con tutta la diligenza necessaria e che a essa spetta, al termine della sua indagine, decidere se, in forza della direttiva sul trattamento dei dati personali, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato”. Contesto –  La direttiva europea dispone che il trasferimento di tali dati verso un paese terzo può avere luogo, in linea di principio, solo se il paese terzo di cui trattasi garantisce per questi dati un adeguato livello di protezione. Sempre secondo la direttiva, la Commissione può constatare che un paese terzo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, garantisce un livello di protezione adeguato. Infine, la direttiva prevede che ogni Stato membro designi una o più autorità pubbliche incaricate di sorvegliare l’applicazione nel suo territorio delle disposizioni di attuazione della direttiva adottate dagli Stati membri. Maximilian Schrems, cittadino austriaco, utilizza Facebook dal 2008. Come accade per gli altri iscritti che risiedono nell’Unione, i dati da lui forniti alla piattaforma sono trasferiti, in tutto o in parte, a partire dalla filiale irlandese di Facebook, su server situati nel territorio degli Stati Uniti, dove sono oggetto di trattamento. Schrems aveva presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte da Snowden sulle attività della National Security Agency, il diritto e le prassi statunitensi non offrissero una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese. L’autorità irlandese respinse la denuncia, segnatamente con la motivazione che, nella decisione del luglio 2000, la Commissione aveva ritenuto che, nel contesto del cosiddetto regime di approdo sicuro, gli Stati Uniti garantissero un livello adeguato di protezione dei dati personali trasferiti. La High Court of Ireland (Alta Corte di giustizia irlandese), investita della causa, chiese dunque alla Corte di Giustizia se questa decisione della Commissione producesse l’effetto di impedire ad un’autorità nazionale di controllo di indagare su una denuncia con cui si lamenta che un paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato. Sentenza – La Corte reputa che l’esistenza di una decisione della Commissione che dichiara che un paese terzo garantisce un livello di protezione adeguato dei dati personali trasferiti “non può sopprimere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della Carta dei diritti fondamentali dell’Unione europea e della direttiva”. La Corte sottolinea, a questo proposito, il diritto alla protezione dei dati personali garantito dalla Carta e la missione di cui sono investite le autorità nazionali di controllo in forza della Carta medesima.

La Corte considera anzitutto che “nessuna disposizione della direttiva osta a che le autorità nazionali controllino i trasferimenti di dati personali verso paesi terzi oggetto di una decisione della Commissione”. Anche quando esiste una decisione della Commissione, quindi, le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti i requisiti stabiliti dalla direttiva. Tuttavia, la Corte ricorda che “solo essa è competente a dichiarare invalida una decisione della Commissione, così come qualsiasi atto dell’Unione. Pertanto, qualora un’autorità nazionale o una persona ritenga che una decisione della Commissione sia invalida, tale autorità o persona deve potersi rivolgere ai giudici nazionali affinché, nel caso in cui anche questi nutrano dubbi sulla validità della decisione della Commissione, essi possano rinviare la causa dinanzi alla Corte di giustizia. Pertanto, in ultima analisi è alla Corte che spetta il compito di decidere se una decisione della Commissione è valida o no”. La Corte, passando quindi a verificare la validità della decisione in oggetto, ricorda che “la Commissione era tenuta a constatare che gli Stati Uniti garantiscono effettivamente, in considerazione della loro legislazione nazionale o dei loro impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’Unione a norma della direttiva, interpretata alla luce della Carta”. La Corte osserva che “la Commissione non ha proceduto a una constatazione del genere, ma si è limitata a esaminare il regime dell’approdo sicuro“. Orbene, senza che alla Corte occorra verificare se questo sistema garantisce un livello di protezione sostanzialmente equivalente a quello assicurato nell’Unione, la Corte rileva che “esso è esclusivamente applicabile alle imprese americane che lo sottoscrivono e che, invece, le autorità pubbliche degli Stati Uniti non vi sono assoggettate”. Inoltre, “le esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi prevalgono sul regime dell’approdo sicuro, cosicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste da tale regime laddove queste ultime entrino in conflitto con tali esigenze. Il regime americano dell’approdo sicuro rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone, e la decisione della Commissione non menziona l’esistenza, negli Stati Uniti, di norme intese a limitare queste eventuali ingerenze, né l’esistenza di una tutela giuridica efficace contro tali ingerenze”. La Corte considera che questa ricostruzione è avvalorata da due comunicazioni della Commissione del 27 novembre 2013, dalle quali si evince, segnatamente, che “le autorità degli Stati Uniti potevano accedere ai dati personali trasferiti dagli Stati membri verso tale paese e trattarli in modo incompatibile, in particolare, con le finalità del loro trasferimento, anche effettuando un trattamento in eccesso rispetto a ciò che era strettamente necessario e proporzionato alla tutela della sicurezza nazionale. Analogamente, la Commissione ha dichiarato che le persone interessate non disponevano di rimedi amministrativi o giurisdizionali intesi, in particolare, ad accedere ai dati che le riguardano e, se necessario, ad ottenerne la rettifica o la cancellazione”. Per quanto attiene al livello di tutela sostanzialmente equivalente alle libertà e ai diritti fondamentali garantiti all’interno dell’Unione, la Corte dichiara che, nel diritto dell’Unione, “una normativa non è limitata allo stretto necessario se autorizza in maniera generalizzata la conservazione di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione verso gli Stati Uniti senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione”. La Corte soggiunge che “una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata”. Parimenti, la Corte osserva che “una normativa che non preveda alcuna facoltà per il singolo di esperire rimedi giuridici diretti ad accedere ai dati personali che lo riguardano o ad ottenerne la rettifica o la cancellazione viola il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, facoltà, questa, che è connaturata all’esistenza di uno Stato di diritto”. Infine, la Corte dichiara che “la decisione della Commissione del 26 luglio 2000 priva le autorità nazionali di controllo dei loro poteri nel caso in cui una persona contesti la compatibilità della decisione con la tutela della vita privata e delle libertà e diritti fondamentali delle persone. La Commissione non aveva la competenza di limitare in tal modo i poteri delle autorità nazionali di controllo”.

La Commissione – “Abbiamo ora tre priorità”, ha affermato in una conferenza stampa Frans Timmermans, vice-presidente della Commissione Europea: “In primo luogo, proteggere i dati che vengono trasferiti oltre l’Atlantico; in secondo luogo, date certe garanzie, far sì che tale flusso prosegua in quanto importante per l’economia dell’Europa; infine, l’applicazione uniforme del diritto comunitario nel mercato interno”.

“Ci sono altri strumenti tramite i quali il flusso di dati può continuare”, ha a sua volta assicurato Věra Jourová, Commissario per la giustizia, la tutela dei consumatori e l’uguaglianza di genere: “Occorre ora lavorare per uniformare l’approccio delle 28 autorità di protezione dei dati dell’Unione”.

Il Garante italiano –  “Con questa sentenza la Corte di Giustizia Europea rimette al centro dell’agenda degli Stati il tema dei diritti fondamentali  delle persone e la necessità che questi diritti, primo fra tutti la protezione dei dati, vengano tutelati anche nei confronti di chi li usa al di fuori dei confini europei”. Questo il primo commento di Antonello Soro, Presidente del Garante per la privacy. “La Corte – prosegue Soro – ha riaffermato con forza che non è ammissibile che il diritto fondamentale alla protezione dei dati, oggi sancito dalla Carta e dai Trattati UE, sia compromesso dall’esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l’ordinamento europeo sulla protezione dei dati. È importante peraltro sottolineare che questa sentenza, insieme ai recenti pronunciamenti della giurisprudenza europea, conferma come la Corte sempre più spesso intenda richiamare le istituzioni europee e gli Stati membri ad un rispetto reale e concreto dei principi sanciti dalla Carta dei diritti fondamentali dell’Ue”. “La Corte – si legge in una nota del Garante – ricorda a tutte le parti in causa che il panorama dei diritti è mutato con l’ingresso della Carta quale parte integrante dei Trattati fondamentali dell’UE, e che tutti gli strumenti e gli atti comunitari, passati e presenti, devono essere guardati con occhi nuovi, attraverso la lente della Carta. È la stessa ottica, del resto, in cui si muove il pacchetto protezione dati con il futuro Regolamento generale e la direttiva polizia e giustizia: entrambi rafforzano, fra le altre cose, i diritti degli interessati in Ue e i poteri delle autorità nazionali di protezione dati.” “E’ chiaro ora – conclude il Presidente del’Autorità – che occorre una risposta coordinata a livello europeo anche da parte dei Garanti nazionali, e in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”. I Garanti europei – Le autorità europee riunite nel Gruppo Articolo 29 accolgono con favore una decisione che “ribadisce che i diritti di protezione dei dati sono parte integrante del regime Ue dei diritti fondamentali. Per diversi anni – si legge in una nota – il gruppo di lavoro ha studiato l’impatto della sorveglianza di massa sui trasferimenti internazionali e ha più volte presentato le sue preoccupazioni. Siamo consapevoli del fatto che questa decisione ha importanti conseguenze su tutte le parti in causa e dunque, al fine di fornire un’analisi coordinata della decisione della Corte e determinare le conseguenze sui trasferimenti, una prima serie di discussioni tra esperti sarà organizzata questa settimana a Bruxelles. Inoltre, verrà programmata a breve una riunione plenaria straordinaria del gruppo di lavoro”.

Corte di Giustizia: normativa Stato su tutela dei dati può essere applicata a una società straniera con un’organizzazione stabile Corte di Giustizia: il diritto dell’Unione osta alla trasmissione e al trattamento di dati personali tra due amministrazioni pubbliche di uno Stato membro se le persone interessate non ne vengono preventivamente informate

6 ottobre 2015

DIMT

Articoli correlati

Back To Top