Poco tempo fa, l’avvocato generale della Corte europea, Yves Bot, pronunciandosi sulla decisione 2000/520/CE della Commissione Europea, la quale ha dichiarato adeguata la protezione assicurata ai dati personali dei cittadini europei negli USA e dunque ne ha consentito il trasferimento, secondo gli accordi di Safe Harbor, affermò che gli Stati europei avrebbero la possibilità di bloccare il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti.
Oggi, è la stessa Corte di Giustizia dell’Unione Europea a dichiarare l’invalidità di questa decisione della Commissione Europea nella sentenza resa nella causa C-362/14, proposta da un giovane studente austriaco che chiedeva che le Autorità irlandesi vietassero il trasferimento dei suoi dati personali verso i server Facebook in USA.
Come è stato stabilito nelle aule della Corte di Lussemburgo, solo la Corte di Giustizia è competente a dichiarare invalido un atto dell’Unione; tuttavia, le autorità nazionali di controllo, investite di una domanda, possono – anche se esiste una decisione della Commissione che dichiara che un Paese terzo offre un adeguato livello di protezione dei dati personali – esaminare se il trasferimento dei dati di una persona verso quel Paese rispetta i requisiti della normativa dell’Unione sulla protezione di tali dati, nonché adire i giudici nazionali, allo stesso titolo della persona interessata, affinché procedano ad un rinvio pregiudiziale per l’esame della validità della decisione.
La vicenda – lo si ricorda – ha avuto origine da un giudizio instaurato da un cittadino austriaco, utente di Facebook, che avendo preso atto dell’enorme mole di suoi dati personali trasferiti sui server situati nel territorio statunitense, decise di ricorrere, da ultimo, anche alla Corte di Giustizia dell’Unione europea.
La denuncia, giunta all’autorità irlandese per la protezione dei dati (dove ha sede la filiale europea del social network americano), mirava a mettere in luce l’inadeguatezza del diritto e delle prassi americane a garantire sufficiente protezione contro il controllo ad opera degli Stati Uniti dei dati trasferiti verso tale Paese, anche alla luce delle rivelazioni in merito alle attività dei servizi di intelligence (Nsa) negli USA a seguito del caso Snowden. L’autorità irlandese, però, aveva respinto il reclamo con la motivazione che la Commissione europea aveva già ritenuto adeguata la protezione dei dati personali offerta dagli Stati Uniti con la Decisione 2000/520/CE. L’interessato, in seguito, aveva, pertanto, adito l’Alta Corte di Giustizia irlandese, che aveva portato al vaglio della Corte di Giustizia europea la possibilità che una decisione della Commissione potesse produrre l’effetto di impedire ad un’autorità nazionale di controllo di indagare sull’adeguatezza del livello di protezione offerto da uno Stato terzo e di sospendere, eventualmente, il trasferimento di dati contestato.
Nella sua sentenza, la Corte reputa che l’esistenza di una decisione della Commissione che dichiara che un Paese terzo garantisce un livello di protezione adeguato dei dati personali trasferiti non può sopprimere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo circa la valutazione di adeguatezza del livello di protezione offerto da uno Stato terzo, alla luce della Carta dei diritti fondamentali dell’Unione europea e della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
La Corte ha voluto sottolineare, quindi, l’importanza del diritto alla protezione dei dati personali, tra l’altro garantito dalla Carta dei diritti fondamentali dell’Unione Europea, e la missione di cui sono investite le autorità nazionali di controllo in forza della Direttiva.
Secondo i giudici della Corte di Giustizia europea, in effetti, nessuna disposizione della Decisione può derogare alla Direttiva impedendo alle autorità nazionali di controllare i trasferimenti di dati personali verso Paesi terzi. Si legge, infatti, che “anche quando esiste una decisione della Commissione, le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un Paese terzo rispetti i requisiti stabiliti dalla Direttiva”.
Qualora, poi, un’autorità nazionale o una persona ritenga che una decisione della Commissione sia invalida, tale autorità o persona ha il diritto di rivolgersi ai giudici nazionali affinché, nel caso in cui anche questi abbiano dubbi sulla validità della decisione stessa, essi possano rinviare la causa dinanzi alla Corte di giustizia.
La Corte, nel caso di specie, ha affermato che la Commissione era tenuta a valutare se gli Stati Uniti fossero in grado di garantire effettivamente, in considerazione della loro legislazione nazionale o dei loro impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’Unione Europea a norma della Direttiva 95/46/CE, tenendo conto anche della Carta dei diritti fondamentali dell’Unione Europea: secondo i giudici della Corte, invece, la Commissione non ha proceduto a una constatazione del genere, limitandosi solo a esaminare il regime dell’approdo sicuro (c.d. “Safe Harbor”, che consta di una serie di principi, relativi alla protezione dei dati personali, che le imprese americane possono volontariamente sottoscrivere e che non è applicabile nei confronti delle autorità pubbliche statunitensi). Inoltre, come si legge nel comunicato stampa n.117/15 della Corte di Giustizia, “le esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi prevalgono sul regime del Safe Harbor, cosicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste da tale regime laddove queste ultime entrino in conflitto con tali esigenze”.
Questo sistema, perciò, rende possibili eventuali ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone e, in più, la decisione della Commissione non menziona l’esistenza, negli Stati Uniti, di norme intese a limitare queste eventuali ingerenze, né l’esistenza di una tutela giuridica efficace contro tali ingerenze.
Questa ricostruzione parrebbe avvalorata, secondo la Corte, da due comunicazioni della Commissione, una verso il Parlamento europeo e il Consiglio, intitolata “Ripristinare un clima di fiducia negli scambi di dati fra l’UE e gli USA” del 27 novembre 2013 e un’altra verso il Parlamento europeo e il Consiglio sul funzionamento del regime “approdo sicuro” dal punto di vista dei cittadini dell’UE e delle società ivi stabilite, sempre del 27 novembre 2013. Da queste comunicazioni si evince che le autorità degli Stati Uniti potevano accedere ai dati personali trasferiti dagli Stati membri verso tale Paese e trattarli in modo incompatibile con le finalità del loro trasferimento, ad esempio anche effettuando un trattamento in eccesso rispetto a ciò che era strettamente necessario e proporzionato alla tutela della sicurezza nazionale. Inoltre, la Commissione dichiarò che i soggetti interessati non disponevano di rimedi amministrativi o giurisdizionali, in particolare finalizzati a consentire l’accesso ai dati che li riguardano e, se necessario, l’ottenimento della rettifica o della cancellazione
Alle luce di tali motivazioni, la Corte ha concluso che l‘articolo 25, comma 6, della direttiva 95/46 / CE, letto alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali UE, deve essere interpretato nel senso che una decisione adottata ai sensi di tale disposizione, come la decisione 2000/520/CE del Consiglio del 26 luglio 2000, non esclude che l’Autorità di controllo di uno Stato membro, ai sensi dell’articolo 28 di tale Direttiva, esamini la richiesta di una persona circa la tutela dei suoi diritti e delle libertà in materia di trattamento dei dati personali a fronte del trasferimento dei suoi dati personali da uno Stato membro a un Paese terzo, quando si ritenga che la legge e la prassi del Paese terzo non garantiscano un adeguato livello di protezione.
Nella sentenza, inoltre, la Corte conclude pronunciandosi sull’invalidità della decisione 2000/520, in quanto la Commissione non aveva la competenza di limitare i poteri delle autorità nazionali di controllo.
Venuto meno, dunque, l’atto che presupponeva un livello di protezione adeguato del trattamento dei dati dei cittadini europei trasferiti negli USA, rimangono in ogni caso applicabili ai trasferimenti di dati le disposizioni dell’art. 25 della Direttiva 95/46/CE, sulla scorta delle quali sono gli Stati membri a dover valutare se il Paese terzo ove i dati devono essere trasmessi garantisca un livello di protezione adeguato, avendo riguardo in particolare della natura dei dati, delle finalità del o dei trattamenti previsti, del paese d’origine e del paese di destinazione finale, delle norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché delle regole professionali e delle misure di sicurezza ivi osservate.
In definitiva, la pronuncia della Corte servirà sicuramente come stimolo ad una più attenta disciplina verso il trattamento dei dati dei cittadini europei trasferiti negli USA, tuttavia questa sentenza non costituisce la base giuridica per ritenere aprioristicamente invalidi i trasferimenti di dati personali verso i server statunitensi. Ciò a maggior ragione se si considera che oggetto della censura dei Giudici dell’Unione è stata la Decisione 2000/520/CE, in quanto la stessa non permetteva espressamente a uno Stato membro di valutare il livello di protezione offerto dall’ordinamento USA. Tuttavia, è il caso di sottolineare che il sindacato della Corte di Giustizia non può spingersi sino a invalidare anche gli accordi di Safe Harbor, richiamati nella stessa Decisione, e sui quali la sentenza della Corte – comunque legata alla tutela del caso singolo sul quale è stata invitata a pronunciarsi – non può ovviamente avere un effetto diretto, né tanto meno la stessa pronuncia può obbligare gli Stati membri a ritenere quei principi non più idonei a garantire un adeguato livello di protezione ai dati personali.
