Oreste Pollicino* e Pietro Dunn, in “Intelligenza artificiale e democrazia” (Egea), esplorano l’impatto dell’intelligenza artificiale…
Facebook, avvocato generale Corte di Giustizia: “Stati possono impedire trasferimento dati degli iscritti verso Usa”
“La decisione della Commissione che dichiara adeguata la protezione dei dati personali negli Stati Uniti non impedisce alle autorità nazionali di sospendere il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti”. È quanto afferma l’avvocato generale della Corte di Giustizia dell’Unione Europea Yves Bot nelle conclusioni in merito ad un procedimento scaturito da una denuncia presentata nel 2013 presso l’autorità irlandese per la protezione dei dati da un utente austriaco a seguito delle rivelazioni di Edward Snowden sulle pratiche dei servizi di intelligence americani, su tutti quelli della National Security Agency alla base del cosiddetto Datagate. La direttiva sul trattamento dei dati personali (95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995) dispone che il trasferimento di tali dati verso un paese terzo può avere luogo se il paese terzo di cui trattasi garantisce per questi dati un livello di protezione adeguato. Sempre secondo la direttiva, la Commissione può constatare che un paese terzo garantisce un livello di protezione adeguato. Quando la Commissione adotta una decisione in questo senso, può avere luogo il trasferimento di dati personali verso il paese terzo interessato. Maximillian Schrems, cittadino austriaco, utilizza Facebook dal 2008. Come accade per gli altri iscritti che risiedono nell’Unione, i dati forniti da Schrems al social network sono trasferiti, in tutto o in parte, a partire dalla filiale irlandese della piattaforma, su server situati nel territorio degli Stati Uniti, dove sono conservati. Schrems presentò la denuncia presso l’authority irlandese ritenendo che, alla luce delle rivelazioni fatte nel 2013 da Snowden, il diritto e le prassi statunitensi non offrissero alcuna reale protezione contro il controllo ad opera dello Stato americano dei dati trasferiti verso tale paese. L’autorità irlandese respinse la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 2000, la Commissione aveva ritenuto che, nel contesto del cosiddetto regime di approdo sicuro (il safe harbour che consta di una serie di principi, relativi alla protezione dei dati personali, che le imprese americane possono volontariamente sottoscrivere), gli Stati Uniti garantissero un livello adeguato di protezione dei dati personali trasferiti. La High Court of Ireland (Alta Corte di giustizia irlandese), investita della causa, ha tuttavia voluto sapere se questa decisione della Commissione produca l’effetto di impedire ad un’autorità nazionale di controllo di indagare su una denuncia secondo cui un paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato. Nelle sue conclusioni odierne, l’avvocato generale Bot ritiene che “l’esistenza di una decisione della Commissione che dichiara che un paese terzo garantisce un livello di protezione adeguato per i dati personali trasferiti non può elidere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della direttiva sul trattamento dei dati personali”. Egli ritiene inoltre che “la decisione della Commissione sia invalida”. L’avvocato generale, come si legge in una nota della Corte, considera anzitutto che “i poteri d’intervento delle autorità nazionali di controllo, tenuto conto dell’importanza del loro ruolo in materia di protezione dei dati, devono rimanere integri. Se le autorità nazionali di controllo fossero vincolate in maniera assoluta dalle decisioni della Commissione, la loro indipendenza totale, di cui godono in forza della direttiva, risulterebbe inevitabilmente limitata”. L’avvocato generale ne evince che, “qualora un’autorità nazionale di controllo ritenga che un trasferimento di dati arrechi pregiudizio alla protezione dei cittadini dell’Unione per quanto attiene al trattamento di loro dati, essa ha il potere di sospendere detto trasferimento, e ciò a prescindere dalla valutazione generale svolta dalla Commissione nella sua decisione. Il potere riconosciuto dalla direttiva alla Commissione, infatti, non incide sui poteri conferiti dalla medesima direttiva alle autorità nazionali di controllo. In altre parole, la Commissione non dispone della competenza di limitare i poteri delle autorità nazionali di controllo“. Sebbene l’avvocato generale riconosca che “le autorità nazionali di controllo sono giuridicamente vincolate dalla decisione della Commissione”, egli considera tuttavia che “questo effetto obbligatorio non presenta una natura tale da implicare che le denunce siano respinte sommariamente, vale a dire immediatamente e senza alcun esame della loro fondatezza, e ciò a maggior ragione giacché il riconoscimento dell’adeguatezza del livello di protezione è una competenza condivisa tra gli Stati membri e la Commissione. Una decisione della Commissione ricopre, invero, un ruolo importante nell’uniformare le condizioni di trasferimento nell’ambito degli Stati membri, tuttavia tale uniformazione può perdurare soltanto fintantoché detto riconoscimento non sia rimesso in discussione, segnatamente nell’ambito di una denuncia che le autorità nazionali di controllo devono trattare in virtù dei poteri investigativi e di interdizione riconosciuti loro dalla direttiva”. Peraltro, l’avvocato generale ritiene che, “laddove vengano riscontrate carenze sistemiche nel paese terzo verso cui i dati personali sono trasferiti, gli Stati membri devono poter adottare le misure necessarie per salvaguardare i diritti fondamentali tutelati dalla Carta dei diritti fondamentali dell’Unione europea, tra cui figurano il diritto al rispetto della vita privata e della vita familiare e il diritto alla protezione dei dati a carattere personale”. Tenuto conto dei dubbi espressi nel corso del procedimento in merito alla validità della decisione 2000/520, l’avvocato generale è del parere che “la Corte debba verificare questo profilo e giunge alla conclusione che la decisione è invalida. Dalle constatazioni effettuate tanto dalla High Court of Ireland quanto dalla stessa Commissione si evince infatti che il diritto e la prassi degli Stati Uniti consentono di raccogliere, su larga scala, i dati personali di cittadini dell’Unione che sono trasferiti, senza che questi ultimi usufruiscano di una tutela giurisdizionale effettiva. Tali constatazioni di fatto dimostrano che la decisione della Commissione non contiene garanzie sufficienti. Considerata questa carenza di garanzie, tale decisione è stata attuata in modo non rispondente ai requisiti sanciti dalla direttiva e dalla Carta”. L’avvocato generale reputa inoltre che “l’accesso dei servizi di intelligence americani ai dati trasferiti costituisca un’ingerenza nel diritto al rispetto della vita privata e nel diritto alla protezione dei dati a carattere personale, che sono garantiti dalla Carta. Analogamente, la circostanza che per i cittadini dell’Unione sia impossibile essere sentiti sulla questione dell’intercettazione e del controllo dei loro dati negli Stati Uniti rappresenta, secondo l’avvocato generale, un’ingerenza nel diritto, tutelato dalla Carta, di ogni cittadino dell’Unione ad una effettiva difesa”. A parere dell’avvocato generale, “tale ingerenza nei diritti fondamentali è contraria al principio di proporzionalità, soprattutto perché il controllo esercitato dai servizi di intelligence americani è massiccio e non mirato. L’accesso ai dati personali di cui dispongono tali servizi, infatti, copre in modo generalizzato qualsiasi persona e qualsiasi mezzo di comunicazione elettronica, nonché la totalità dei dati trasferiti (ivi compreso il contenuto delle comunicazioni), senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo di interesse generale perseguito”. In condizioni del genere, l’avvocato generale ritiene che “non si possa affatto considerare che un paese terzo assicura un livello adeguato di protezione, a maggior ragione perché il regime dell’approdo sicuro, così come definito nella decisione della Commissione, non contiene garanzie idonee ad evitare un accesso massiccio e generalizzato ai dati trasferiti. Nessuna autorità indipendente, infatti, è in grado di controllare, negli Stati Uniti, la violazione dei principi di protezione dei dati personali commessa da enti pubblici, quali le agenzie di sicurezza americane, nei confronti dei cittadini dell’Unione”. “A fronte di una tale constatazione di violazione dei diritti fondamentali dei cittadini dell’Unione, ad avviso dell’avvocato generale – si chiude la nota – la Commissione avrebbe dovuto sospendere l’applicazione della decisione, e ciò nonostante essa conduca attualmente negoziati con gli Stati Uniti allo scopo di porre fine alle carenze accertate”. L’avvocato generale rileva inoltre che “se la Commissione ha deciso di intavolare negoziati con gli Stati Uniti, è proprio perché, preliminarmente, essa ha considerato che il livello di tutela conferito da tale paese terzo, nel contesto del regime dell’approdo sicuro, non era più adeguato e che la decisione del 2000 non era più adatta alla realtà della situazione”.
23 settembre 2014