Schrems II: le conseguenze dell’invalidazione del Privacy Shield
Con sentenza dello scorso 16 luglio (C-311/18), la Corte di Giustizia UE ha invalidato la decisione n. 2016/1250 con cui la Commissione Europea aveva ritenuto, ex art. 45 GDPR, che il Privacy Shield – ovvero, l’accordo UE-USA che disciplinava i trasferimenti di dati personali dall’Unione Europea agli Stati Uniti – fornisse un livello adeguato di protezione dei dati oggetto di trasferimento transfrontaliero. Si tratta di una decisione avente un enorme impatto: più di 5.000 organizzazioni statunitensi partecipavano al Privacy Shield e moltissime società europee si affidavano allo stesso per legittimare i trasferimenti di dati in USA.
È bene notare, però, che il Privacy Shield costituiva solo uno dei possibili strumenti messi a disposizione dal GDPR per rendere i flussi di dati Europa-USA legittimi: al di là delle decisioni di adeguatezza della Commissione UE, infatti, il GDPR prevede che i trasferimenti di dati extra-UE possano aver luogo in presenza di garanzie adeguate ex art. 46 GDPR (tra cui: strumenti vincolanti tra autorità pubbliche, clausole tipo, codici di condotta, meccanismi di certificazione); sulla base delle c.d. norme vincolanti d’impresa ex art. 47 GDPR; in virtù di accordi internazionali nei casi previsti dall’art. 48 GDPR; sulla base del consenso dell’interessato nonché nelle specifiche ipotesi previste dall’art. 49 GDPR. Invalidato il Privacy Shield, si tratta ora quindi di capire quali tra questi meccanismi potranno essere invocati dai soggetti UE per i futuri trasferimenti di dati negli USA.
Di seguito si ripercorrono i punti più importanti del procedimento e della sentenza.
Si ricorda, anzitutto, che la decisione in commento fa seguito alla c.d. pronuncia Schrems I (C‑362/14, commentata qui su questo blog) adottata nell’ambito di un procedimento instaurato dal sig. Schrems, che aveva denunciato di fronte all’autorità giudiziaria irlandese l’illegittimità del trasferimento dei propri dati da Facebook Ireland Ltd. a Facebook Inc (con sede in USA). Con la decisione Schrems I, in particolare, la Corte di Giustizia UE aveva dichiarato invalido il precedente accordo per il trasferimento dei dati UE-USA, il c.d. ‘Safe Harbor’ (convalidato con decisione della Commissione UE n. 2000/520), ritenendo che non garantisse una tutela paragonabile a quella fornita dal diritto europeo. Ciò perché, da un lato, il Safe Harbor era applicabile solo alle imprese che lo avevano sottoscritto (e non ad es. alle autorità pubbliche USA), dall’altro lato, perché le stesse imprese aderenti potevano essere chiamate a disapplicarlo per ragioni di pubblico interesse nazionale, permettendo di fatto un’ingerenza generalizzata da parte delle autorità americane nei confronti dei soggetti interessati. A seguito dell’invalidazione del Safe Harbor, la Commissione UE aveva quindi provveduto ad approvare il nuovo meccanismo del ‘Privacy Shield’ mediante decisione n. 2016/1250.
Chiamato a riformulare la propria denuncia, il sig. Schrems aveva però ribadito che, anche in questo caso, nonostante la decisione di adeguatezza relativa al Privacy Shield, i cittadini europei non godevano del «livello di protezione adeguato» previsto dal GDPR ai fini del trasferimento. Tale nozione, infatti, deve intendersi come necessità che il paese ricevente assicuri effettivamente un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito dal GDPR, letto alla luce della Carta dei diritti fondamentali UE, garantendo (tra l’altro) mezzi di ricorso giurisdizionali effettivi.
Rilevando che le questioni sollevate dal sig. Schrems ponevano il problema della possibile invalidità della decisione sul Privacy Shield, l’autorità di controllo irlandese aveva così adito la High Court affinché rivolgesse la questione alla Corte di Giustizia UE. Il giudice a quo, infatti, aveva evidenziato che il diritto statunitense impone a Facebook Inc. di mettere a disposizione delle autorità statunitensi (quali la National Security Agency-NSA e la Federal Bureau of Investigation-FBI) i dati personali ad essa trasferiti, che vengono poi utilizzati nell’ambito di programmi di sorveglianza nazionale. Tali ingerenze erano peraltro legittimate dallo stesso Privacy Shield, al punto I.5. dell’allegato II alla decisione n. 2016/1250.
Su queste premesse, il giudice a quo aveva osservato che, contro il trattamento di dati eventualmente operato dalle autorità statunitensi, i cittadini europei non disponevano di alcun mezzo adeguato di difesa: da un lato, infatti, i cittadini UE non possono appellarsi al quarto emendamento della Costituzione USA (che costituisce il più importante mezzo di tutela contro la sorveglianza illegale), come i cittadini statunitensi; dall’altro lato, le attività di intelligence poste in essere dalle autorità statunitensi non possono essere oggetto di ricorso giurisdizionale. Né, peraltro, la figura del Mediatore istituita dal Privacy Shield poteva fungere da organo giurisdizionale ai sensi dell’art. 47 della Carta dei diritti fondamentali UE (che sancisce il diritto a un ricorso effettivo e a un giudice imparziale), sopperendo quindi alle mancanze dell’ordinamento USA. A ciò doveva, infine, aggiungersi che nemmeno le clausole contrattuali tipo – adottate dalla Commissione UE con decisione 2010/87- potevano fornivano garanzie sufficienti per la tutela dei dati trasferiti (proprio in virtù della loro natura contrattuale che ne permette la disapplicazione).
La High Court irlandese aveva quindi chiesto alla Corte di Giustizia UE di verificare se l’ordinamento statunitense garantisse ai cittadini UE un livello di protezione sostanzialmente equivalente a quello previsto dall’art. 47 citato e se la decisione di adeguatezza della Commissione n. 2016/1250 potesse legittimare i trasferimenti transfrontalieri in questione.
Ritenendo che i trattamenti operati dalle autorità nazionali statunitensi non possano sottrarsi all’applicazione del GDPR solo perché motivati da esigenze di difesa e di pubblica sicurezza, la Corte di Giustizia, facendo proprie tutte le osservazioni sopra esaminate del giudice irlandese, ha invalidato la decisione n. 2016/1250 oggetto di ricorso, affermando che l’ordinamento statunitense non fornisce adeguate garanzie per il trasferimento dei dati dei cittadini UE, proprio per l’assenza di mezzi di ricorso effettivi avverso tali trattamenti, e non rispetta il principio di proporzionalità di trattamento dei dati dei cittadini UE nel contesto delle operazioni di intelligence.
La sentenza della Corte non ha invece invalidato le clausole contrattuali tipo (che costituiscono adeguate garanzie per il trasferimento dei dati ex art. 46 par. 2 GDPR) previste dalla sopracitata decisione 2010/87/UE, precisando, però, che il ricorso a tali clausole può legittimare i trasferimenti di dati solo se, sulla base di una verifica da condurre caso per caso, il livello di protezione da queste garantito risulta adeguato (tenendo in particolare presente la possibilità delle autorità statunitensi di accedere ai dati trasferiti, nonché gli aspetti rilevanti dell’ordinamento USA stesso). Infine, la Corte ha precisato che, in assenza di una decisione di adeguatezza, le autorità di controllo nazionali possono sospendere i trasferimenti di dati basati su clausole tipo che non forniscono complessivamente garanzie adeguate.
Come visto, la decisione qui commentata è di enorme impatto. Poiché non esiste un “periodo di grazia”, in cui le aziende UE sono esentate dalla ricerca di meccanismi alternativi al Privacy Shield per legittimare i trasferimenti di dati in USA, le stesse aziende hanno ora il dovere di sospendere o interrompere i trasferimenti quando non dispongono di uno strumento giuridico alternativo valido. Tuttavia, le conseguenze dell’annullamento del Privacy Shield sono per certi versi ancora poco definite e, al momento, le autorità nazionali competenti in materia di privacy ed il Comitato Europeo per la protezione dei dati personali (EDPB) stanno valutando l’interpretazione e le conseguenze di questa sentenza, in modo da stabilire delle linee guida per permettere alle aziende di gestire i futuri trasferimenti di dati in USA.
Per il momento, l’EDPB ha pubblicato delle FAQ relative all’applicazione della decisione in esame (disponibili a questo link) ed ha adottato una determinazione (link) in cui ha ribadito che i soggetti che provvederanno al trasferimento dovranno valutare la possibilità di prevedere delle misure integrative rispetto alle clausole-tipo; misure integrative non ancora precisate e su cui l’EDPB stesso sta lavorando. In mancanza di idonee garanzie, tali soggetti saranno comunque tenuti a sospendere il trattamento o, ove intendano continuare a trasferire i dati, a effettuare una notifica alla competente autorità nazionale, cui spetterà l’eventuale decisione di sospendere o proibire il trasferimento in questione. L’EDPB ha infine ricordato che le deroghe di cui all’art. 49 costituiscono previsioni di applicazione speciale (in particolare, per trasferimenti occasionali e non ripetitivi), la cui invocabilità va valutata caso per caso.
Per il momento, invece, il Garante italiano non ha ancora preso formalmente posizione sulla decisione della CGUE. Parallelamente, il NOYB (l’organizzazione no-profit fondata da Maximilian Schrems) ha pubblicato a questo link delle FAQ che dovrebbero aiutare le aziende nella gestione dei trasferimenti transfrontalieri.