Approfondimenti

Caso Schrems, crolla il “safe harbor”:
il sistema americano non garantisce
la protezione dei dati degli utenti europei

Ultimo aggiornamento: 11 dicembre 2015

Approfondimenti, In evidenza

Di Jacopo Giunta  Lawyer, IT Expert, Information Forensics Investigator (CIFI) 

Commento a sentenza, decisione della Corte di Giustizia Europea 06.10.2015 nella causa C-362-14 “Schrems/Data Protection Commissioner” .

La corte di Giustizia europea, nella nota sentenza “Facebook” (Corte di Giustizia C-362-14) si è recentemente pronunciata sulla questionepregiudiziale relativa alla causa proposta dal giovane giurista austriaco leader del gruppo attivista per la privacy “Europe Vs. Facebook” Maximilian Schrems,  il quale già due anni prima delle rivelazioni  fatte  nel  2013  dal “whsitelblower” Edward Snowden in merito alle attività dei servizi di intelligence statunitensi (con particolare riferimento alla National Security Agency) connesse al programma governativo segreto denominato PRISM[1], ha ricorso all’autorità irlandese di controllo significando come il diritto e le prassi americane in materia di “data protection” non risultassero idonee a garantire, ai sensi della direttiva europea sul trattamento dei dati personali 95/46/CE[2], una tutela adeguata contro le ingerenze delle autorità pubbliche sui dati personali degli utenti europei trasferiti sul suolo americano.

Il “Data Protection Commissioner” irlandese ha respinto la denuncia di Schrems, motivando il rigetto sulla base della decisione 2000/520/CE del 26 luglio 2000[3] resa a sensi della direttiva 95/46/CE del Parlamento europeo, del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti, con cui la Commissione ha ritenuto che, nel contesto del cosiddetto regime di «Safe Harbor» (ovvero approdo sicuro), gli Stati Uniti risultassero garanti di un livello adeguato di protezione dei dati personali trasferiti.

La High Court of Ireland (Alta Corte di giustizia irlandese) successivamente adita da Schrems, si è rivolta alla CGUE per richiedere un parere interpretativo circa la portata e gli effetti della decisione della Commissione, ovvero se la stessa produca l’effetto di inibire l’autorità nazionale di uno Stato membro ad indagare sulla sull’eventualità che un paese terzo non risulti più idoneo ad assicurare un livello di protezione adeguato.

Nella sentenza, la Corte chiarisce che l’esistenza di una decisione della Commissione che assume che un paese terzo garantisce un livello di protezione adeguato dei dati personali trasferiti, non è idonea ad impedire e neppure a ridimensionare i poteri di cui dispongono le autorità nazionali di controllo in forza della Carta dei diritti fondamentali dell’Unione europea e della direttiva

La Corte considera anzitutto che nessuna disposizione della direttiva impedisce alle autorità nazionali il controllo sui trasferimenti di dati personali verso paesi terzi interessati da una decisione della Commissione.  Anche quando sussiste una decisione della Commissione, le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di un determinato soggetto verso un paese terzo rispetti i requisiti stabiliti dalla direttiva.

Tuttavia la Corte ricorda che solo essa è competente a dichiarare invalida una decisione della Commissione, così come qualsiasi atto dell’Unione. Pertanto, qualora un’autorità nazionale o una persona fisica ritenga che una decisione della Commissione sia invalida, questa deve potersi rivolgere ai giudici nazionali, e nel caso in cui anche questi ravvisino un’ipotesi di invalidità della decisione, dovranno sottoporre il caso alla Corte di giustizia.

Nel caso in oggetto la Corte, investita dell’onere di verificare la validità della decisione della Commissione del 26 luglio 2000, ha osservato come la stessa fosse tenuta a constatare che gli Stati Uniti garantissero effettivamente, in considerazione della loro legislazione nazionale o dei loro impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’Unione a norma della direttiva, interpretata alla luce della Carta.

La Corte rileva che il Safe Harbor è esclusivamente applicabile alle imprese americane che vi aderiscono (o meglio, cheautocertificano il rispetto dei relativi principi, senza alcuna verifica effettiva ex ante da parte degli organi di controllo) e che, invece, le autorità pubbliche degli Stati Uniti non vi sono assoggettate: pertanto, le esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi prevalgono sul regime dell’approdo sicuro, cosicché le imprese americane sono tenute a disapplicare le norme di tutela previste da tale regime laddove queste ultime entrino in conflitto con tali esigenze.

Il regime americano dell’approdo sicuro rende così possibili deroghe a favore delle autorità pubbliche americane nel rispetto dei diritti fondamentali delle persone, e la decisione della Commissione non menziona l’esistenza, nell’ordinamento statunitense, di norme intese a limitare queste eventuali ingerenze, né l’esistenza di una tutela giuridica efficace contro avverso tali intromissioni[4].

La Corte aggiunge che una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche, senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso ai dati e la loro successiva utilizzazione, deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata sancito dal diritto dell’UE.

Parimenti, la Corte osserva che una normativa che non preveda alcuna facoltà per il singolo di esperire azioni dirette ad accedere ai propri dati personali o ad ottenerne la rettifica o la cancellazione viola il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, facoltà connaturata all’esistenza di uno Stato di diritto[5].

Pertanto la Corte dichiara invalida la decisione della Commissione del 26 luglio 2000, disponendo come l’autorità irlandese di controllo sia tenuta ad una verifica sulla sussistenza dei presupposti sui quali si fonda la denuncia di Schrems, all’esito della quale dovrà determinare se, in forza della direttiva UE, occorra sospendere o meno il trasferimento dei dati degli utenti europei di Facebook verso gli Stati Uniti.

[1] Il programma PRISM, che secondo determinate fonti sarebbe operativo dal 2007, favorirebbe la raccolta ad opera dell’NSA di indirizzi e-mail ed altri dati personali supersensibili da aziende tra cui Google, Microsoft, Facebook, Apple e Yahoo mediante apparecchiature fisicamente installate sugli switch dei provider che, utilizzando prismi di vetro come “splitter”, permetterebbero alla NSA di copiare il flusso dei dati ritrasmettendoli a centri di archiviazione gestiti dall’agenzia per la sicurezza nazionale. Le società che risulterebbero presumibilmente interessate nell’operazione PRISM hanno (ovviamente) negato qualsiasi conoscenza del programma, smentendo qualsiasi voce circa l’esistenza di un sistema di “accesso secondario” che permetterebbe alla NSA di intercettare i dati degli utenti.

[2] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati

[3]  Decisione  2000/520/CE  della  Commissione,  del  26  luglio  2000,  a  norma  della  direttiva  95/46/CE  del  Parlamento europeo  e  del  Consiglio  sull’adeguatezza  della  protezione  offerta  dai  principi  di  approdo  sicuro  e  dalle  relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti (GU 2000, L 215, pag. 7).

[4] La Corte muove tali considerazioni sulla base di due comunicazioni della Commissione al Parlamento europeo e al Consiglio, (rispettivamente 1) “Ripristinare un clima di fiducia negli scambi di dati fra l’UE e gli USA” (COM(2013) 846 final, 27 novembre 2013 – 2)“Comunicazione della Commissione al Parlamento europeo e al Consiglio sul funzionamento del regime «approdo sicuro» dal punto di vista dei cittadini dell’UE e delle società ivi stabilite” (COM(2013) 847 final, 27 novembre 2013), dalle quali si evince che le autorità degli Stati Uniti potevano accedere ai dati personali trasferiti dagli Stati membri verso tale paese e trattarli in modo incompatibile con le finalità del loro trasferimento, anche effettuando un trattamento in eccesso rispetto a ciò che era strettamente necessario e proporzionato alla tutela della sicurezza nazionale. Analogamente, la Commissione ha dichiarato che le persone interessate non disponevano di rimedi amministrativi o giurisdizionali intesi, in particolare, ad accedere ai dati che le riguardano e, se necessario, ad ottenerne la rettifica o la cancellazione.

[5] La Corte afferma che la Commissione non aveva la competenza di limitare in tal modo i poteri delle autorità nazionali di controllo.