Clamorosa pronuncia della Corte di Giustizia UE: la decisione della Commissione che consentiva trasferimenti di dati personali verso gli Stati Uniti è invalida
La sentenza della CGUE nella causa C-362/14 Maximillian Schrems c. Data Protection Commissioner, pubblicata oggi, è destinata negli anni a venire ad essere citata tra le più importanti di sempre in materia di privacy. Essa rimarca, una volta di più, il conflitto tra l’Unione Europea e gli Stati Uniti sul punto di confine tra esigenze di sicurezza nazionale e diritti fondamentali dell’individuo.
Sin dal 2000, la maggior parte dei trasferimenti di dati personali verso gli Stati Uniti da parte di “titolari del trattamento” stabiliti nella UE – o comunque soggetti alla legge in materia di dati personali di uno dei Paesi UE – è stata legittimato da una decisione della Commissione Europea di quell’anno (Decisione 2000/520), secondo la quale qualsiasi organizzazione privata statunitense che auto-certificasse la propria adesione volontaria a una serie di principi in materia di protezione dei dati personali, c.d. “Safe Harbor”, elaborati dal Dipartimento del commercio degli Stati Uniti, poteva presumersi ex lege un destinatario affidabile (un “approdo sicuro”) dei dati stessi. Per il diritto UE, infatti, il trasferimento di dati personali fuori dalla UE è di per sé problematico, e può essere effettuato solo a certe condizioni.
Questa decisione della Commissione ha rappresentato per tre lustri il fondamento di legittimità del transito di una massa enorme e sempre crescente di dati dall’Unione Europea agli USA. Di essa si sono avvantaggiate anzitutto le più grandi e importanti piattaforme social, che conservano i dati degli utenti su server americani; ma anche tutte le aziende europee che per qualsiasi motivo affidano l’elaborazione e la conservazione di informazioni personali sotto il proprio controllo a fornitori di servizi stabiliti negli Stati Uniti, come sono ad esempio i principali fornitori di servizi cloud, o per qualsiasi altro motivo trasferiscono dati personali verso quel Paese.
Con la pronuncia di oggi, quel fondamento non esiste più.
La causa che ha dato origine alla clamorosa sentenza è stata iniziata in Irlanda da Maximilian Schrems, un cittadino austriaco, che, come moltissimi altri, utilizza Facebook regolarmente da anni. Come accade per gli altri utenti di Facebook che risiedono nell’Unione, i dati personali del sig. Schrems sono trasferiti dalla filiale irlandese del social network su server situati nel territorio degli Stati Uniti. Ebbene, nel 2013 il sig. Schrems ha presentato una denuncia contro tale trasferimento presso il Data Protection Commissioner (l’omologo del nostro Garante dei dati personali) sostenendo che, alla luce delle rivelazioni fatte in quell’anno da Edward Snowden in merito all’attività della NSA americana, il diritto e le prassi statunitensi non offrano una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati personali trasferiti verso tale paese.
Il Garante irlandese ha, tuttavia, respinto la denuncia, sulla base della decisione della Commissione del 2000 che considera “adeguata” la protezione offerta negli Stati Uniti da imprese aderenti al regime dell’Approdo Sicuro, come appunto Facebook. Il sig. Schrems si è allora rivolto alla High Court of Ireland (l’Alta Corte di giustizia irlandese), che, a sua volta, mediante rinvio pregiudiziale, ha chiesto alla Corte di Giustizia UE di dire se la decisione della Commissione produca l’effetto di impedire ad un’autorità nazionale di controllo di indagare su una denuncia con cui si lamenta che un paese terzo non assicura un livello di protezione dei dati personali adeguato e, se necessario, di sospendere il trasferimento di dati contestato.
Nella sua odierna sentenza, la Corte ha stabilito, anzitutto, che una decisione di “adeguatezza” della Commissione non può intaccare i poteri di cui dispongono le autorità nazionali di controllo in materia di privacy. Anche quando esiste una decisione della Commissione, quindi, le autorità nazionali di controllo potranno esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti i requisiti stabiliti dalla direttiva europea sui dati personali.
Già questo sarebbe bastato a mutare completamente il quadro giuridico del trasferimento oltreconfine di dati personali. La parte più dirompente della sentenza è, tuttavia, quella che segue.
La Corte ha infatti rilevato che, da un lato, il regime americano dell’Approdo Sicuro è applicabile esclusivamente alle imprese che lo sottoscrivono, mentre le autorità pubbliche degli Stati Uniti non vi sono assoggettate; dall’altro, imprese che pure hanno dichiarato la loro adesione possono comunque essere obbligate a disapplicarne le norme, in virtù di esigenze di sicurezza nazionale, pubblico interesse e osservanza delle leggi statunitensi. Queste eccezioni consentono ingerenze generalizzate da parte delle autorità pubbliche americane nei diritti fondamentali delle persone, tramite un accesso ai dati trasferiti verso gli USA, senza che risulti, dalla decisione della Commissione, che tali poteri siano adeguatamente limitati o che le persone interessate dispongono di mezzi di ricorso contro il loro esercizio intesi a tutelarsi contro queste ingerenze. Anzi, da alcune comunicazioni della stessa Commissione risulterebbe positivamente l’esatto contrario.
La Commissione sarebbe quindi venuta meno, con la decisione del 2000, al proprio dovere di constatare che la protezione offerta dal Regime dell’Approdo Sicuro fosse sostanzialmente equivalente a quella offerta dal diritto della UE in tema di diritti fondamentali dell’individuo.
Inoltre, la decisione della Commissione pretende di privare le autorità nazionali di controllo dei loro poteri nel caso in cui una persona contesti la compatibilità della decisione stessa con la tutela della vita privata e delle libertà e diritti fondamentali delle persone; ma la Commissione non aveva il potere di limitare in tal modo i poteri delle autorità nazionali di controllo.
Per questo complesso di motivi, la Corte ha dichiarato invalida la decisione della Commissione del 26 luglio 2000.
Per il sig. Schrem, ciò significa che il caso torna di fronte all’alta Corte irlandese che dovrà giudicare nel merito tenendo conto della pronuncia della Corte di Giustizia. Per il resto del mondo, si tratta di fare i conti con una sentenza che equivale a una scossa tellurica nel campo del trattamento delle informazioni personali, e che senza dubbio inciderà sui rapporti tra il Vecchio Continente e gli USA.