In questi giorni l’abolizione del cosiddetto Privacy Shield ha fatto molto discutere e temere per la sorte di tutti quei player che hanno un interesse di business al trasferimento dei dati in territorio statunitense.
I commentatori hanno enfatizzato gli impatti negativi che la storica decisione della Corte di Giustizia potrebbe produrre su quei soggetti che trattano dati negli USA ma cosa significa davvero il Caso Shrems II per i diritti e le libertà dei cittadini UE? Ebbene, può essere considerata una nostra vittoria. Lo capiamo ripercorrendo la vicenda fino in fondo.
La genesi del caso
Era il lontano 2013 e lo zelante attivista Maximillian Schrems, facendo seguito alle dirompenti rivelazioni di Edward Snowden in relazione ai torbidi meccanismi tramite cui i servizi di intelligence made in USA stavano sorvegliando milioni di cittadini europei, sottoponeva all’attenzione del Data Protection Commissioner (il Garante Irlandese) il caso di un’illustre ospite Irlandese, Facebook Ireland Ltd il quale secondo il reclamo di Schrems avrebbe dato in pasto ai servizi segreti statunitensi i dati dei propri utenti.
La denuncia di “Max” Schrems sosteneva che Facebook Ireland non trattasse i dati in maniera autonoma ma di fatto si limitasse a trasferire i dati contenuti nei server europei negli States dove poi era Facebook Inc. a trattarli.
Facebook Inc. secondo le rivelazioni rese precedentemente da Snowden avrebbe partecipato attivamente ad un progetto di sorveglianza di massa denominato “PRISM”.
Tutto questo era reso possibile grazie ad uno storico accordo tra USA e Unione Europea il noto “Safe Harbor” che a seguito dell’affair Schrems si sarebbe rivelato, malgrado le buone intenzioni, l’esatto opposto di quell’ “approdo sicuro” che nominalmente dichiarava di essere.
Il mancato accoglimento delle censure proposte da parte del Commissario Irlandese per la Protezione dei Dati faceva approdare la controversia in seno alla Corte di giustizia dell’Unione europea che accoglieva le doglianze del ricorrente con l’ormai celebre sentenza C-362/14 Maximillian Schrems/Data Protection Commissioner del 6 ottobre 2015 (di seguito, “Schrems I”).
Con tale pronuncia, la Corte di fatto invalidava la decisione 2000/520/CE della Commissione, del 26 luglio 2000, che aveva giudicato adeguato il livello di protezione dei dati personali trasferiti[1] basata sul vecchio quadro dell’approdo sicuro, cosiddetto International Safe Harbor Privacy Principles e costringeva il Garante Irlandese a pronunciarsi nuovamente sulla faccenda.
Da un lato, a seguito alla citata sentenza della Corte di giustizia, il Gruppo di lavoro “articolo 29” ( oggi “European Data Protection Board” o “EDPB”) invitava gli Stati membri dell’Unione europea e le altre istituzioni europee ad avviare un dialogo con le autorità degli Stati Uniti, al fine di trovare soluzioni politiche, giuridiche e tecniche volte a consentire il trasferimento di dati verso il territorio statunitense nel rispetto dei diritti fondamentali.
Lo scudo EU-US Privacy Shield
Solo dopo due anni di negoziati nel febbraio 2016, la Commissione Europea e il Dipartimento del Commercio degli Stati Uniti riuscirono a trovare un accordo: lo scudo EU-US Privacy Shield.
Forte dell’esperienza passata e dimostrando un pragmatismo degno di nota il pool dei Garanti europei nel “Parere 01/2016 sul progetto di decisione sull’adeguatezza del regime dello scudo UE-USA per la privacy adottato il 13 aprile 2016 (WP238)” il WP29 affermava di non aspettarsi “che lo scudo EU-US Privacy Shield duplichi meramente sotto ogni aspetto il quadro giuridico dell’Unione europea” ma in un’ottica genuinamente comparatistica nutriva l’aspettativa che l’accordo potesse “racchiudere l’essenza dei principi fondamentali e, pertanto, garantire un livello di protezione sostanzialmente equivalente”.
L’obiettivo dei Garanti europei e della stessa Corte di Giustizia non era esigere da un paese terzo un livello di protezione identico a quello garantito nell’ordinamento giuridico dell’Unione europea, ma quello di assicurare in maniera effettiva, tenuto conto della propria legislazione nazionale o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione europea.
Il 12 luglio 2016, la Commissione adottava il nuovo regime introdotto dall’EU-US Privacy Shield il quale prevedeva:
- obblighi severi per le imprese statunitensi che trattano dati personali di cittadini europei e un controllo rigoroso e periodico del rispetto di tali obblighi con conseguente applicazione di sanzioni ed esclusione dall’elenco degli aderenti in caso di violazioni;
- garanzie chiare e obblighi di trasparenza per l’accesso del governo e delle autorità pubbliche degli Stati Uniti ai dati personali per fini di contrasto e sicurezza nazionale che non potrà più essere massivo e indiscriminato ma sarà soggetto a chiare limitazioni, garanzie e meccanismi di sorveglianza precisi;
- protezione efficace dei diritti dei cittadini dell’UE e diverse possibilità di ricorso tra le quali il meccanismo di mediazione;
- meccanismo annuale di riesame congiunto: Il meccanismo consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale.
- l’istituzione della figura del “Mediatore dello Scudo”, per tutelare gli interessati da abusi, assicurare la corretta attuazione dell’accordo e garantire negli Stati Uniti un livello di protezione dei dati equivalente a quello europeo
Max Schrems aveva ottenuto un primo, grande, inatteso risultato: quello di stimolare il dialogo tra le Istituzioni e giungere ad un accordo che, almeno sulla carta, garantisse maggiori diritti per i cittadini europei.
Ma la storia non finisce qui perché conseguentemente alla prima sentenza Max Schrems è stato invitato dalla stessa Authority Irlandese a riformulare la sua segnalazione tenendo conto della dichiarazione di invalidità, da parte della Corte di Giustizia, della decisione 2000/520.
Oggetto della nuova domanda è l’accusa dell’incapacità da parte degli Stati Uniti di offrire una protezione sufficiente per i dati trasferiti verso tale paese e la conseguente richiesta di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali verso gli Stati Uniti da parte di Facebook Ireland.
A seguito di una articolata vicenda giudiziaria la questione ritorna sui banchi dei giudici europei con una domanda di pronuncia pregiudiziale, che ha come mittente l’Alta Corte di Giustizia Irlandese.
Il giudice del rinvio chiedeva ai Giudici Lussemburghesi una pronuncia su:
- l’applicabilità del GDPR a trasferimenti di dati personali fondati sulle c.d. standard contractual clauses contenute nella decisione 2010/87;
- gli obblighi che incombono alle autorità di controllo in tale contesto
- la validità tanto della decisione 2010/87 quanto della decisione 2016/1250.
A questo punto rimane da capire cosa hanno deciso i Giudici della Court of Justice su due dei meccanismi che più di tutti gli altri hanno garantito, almeno sulla carta, la liceità dei trasferimenti Europa-USA: clausole contrattuali standard e Privacy Shield.
I giudici europei dichiarano inefficace il Privacy Shield
I meccanismi e le garanzie dello “Scudo” non erano – di fatto – in grado di garantire un livello di protezione sufficiente ai cittadini europei i cui dati vengono trattati negli Stati Uniti.
Una decisione che non può considerarsi sorprendente o inattesa – la Corte di Giustizia ha infatti ribadito alcuni punti già emersi nella sentenza Schrems I.
La seconda rilevante decisione presa da Giudici europei è quella relativa alle standard contractual clauses su cui la Corte non ha rinvenuto alcun elemento idoneo ad inficiare di per sé la validità della decisione 2010/87, che prevede meccanismi di garanzia fondati su clausole tipo di protezione dei dati.
Questo rilievo della Corte ha un’importanza cruciale nel contesto post Schrems II, poiché uno dei principali meccanismi dei trasferimento dei dati rimane a tutti gli effetti valido sebbene sia pacifico che gravi sul titolare o sul responsabile del trattamento che intendono effettuare il trasferimento l’onere di verificare caso per caso la sussistenza di idonee garanzie a protezione dei dati personali nel Paese del destinatario e di prevedere garanzie supplementari nel caso in cui quelle assicurate dalle clausole standard non siano ritenute sufficienti.
La Corte, inoltre, ribadisce il ruolo cruciale svolto dalla Autorità di Controllo in questo contesto, specificando che in forza dell’articolo 58, paragrafo 2, lettere f) e j), GDPR le singole Autorithy sono tenute a “sospendere o a vietare un trasferimento di dati personali verso un paese terzo” qualora emerga che “alla luce del complesso delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi, ove il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione non abbiano essi stessi sospeso il trasferimento o messo fine a quest’ultimo.”
Conclusioni
Gli effetti di una decisione preannunciata come sconvolgente non paiono apparentemente essere un ostacolo insuperabile alla libera circolazione dei dati in territorio extraeuropeo.
Sarà necessario, però, andare ad analizzare caso per caso le singole fattispecie e ricercare le azioni da attuare per disciplinare i trasferimenti di dati personali verso gli USA, seguendo le indicazioni – e quindi gli strumenti – che lo stesso GDPR mette a disposizione dei titolari del trattamento.
Vale la pena ricordare che anche prima di questa sentenza, gli Stati Uniti non rientravano tra quei Paesi che sono stati oggetto di una decisione di adeguatezza da parte della Commissione Europea.
In altre parole il trasferimento di dati personali verso gli Stati Uniti, in quanto Paese extracomunitario, era e rimane soggetto agli stessi obblighi e limiti previsti per tutti gli altri Paesi che non hanno superato il vaglio della Commissione Europea.
Il trasferimento verso questi Paesi potrà essere effettuato anche tramite la versatile mole di strumenti messi a disposizione dal Capo V del GDPR e tra cui le standard contractual clauses, le binding corporate rules e le clausole contrattuali validate dall’autorità di controllo e il consenso dell’interessato.
Al contempo la temuta Sentenza Schrems II può divenire una preziosa occasione di riflessione nel ridisegnare i rapporti futuri e rendere effettiva una maggiore semplicità della conservazione dei dati all’interno dei confini europei in modo da invogliare gli stakeholders ad operare la scelta di optare per fornitori europei, piuttosto che avvalersi di operatori statunitensi per i quali gli adempimenti necessari renderebbero svantaggioso il trasferimento oltreoceano.
Del resto, i big players (fornitori di server in cloud, social media, big tech), in attesa di indicazioni più precise, potrebbero essere, addirittura, spinti da tale decisione a prendere in considerazione un processo di “europeizzazione” dei loro servizi, portandoli all’interno dell’UE e risolvendo così a monte il problema del trasferimento dei dati personali.
A ben vedere, lungi dal rappresentare un colpo al cuore per la libera circolazione dei dati, la decisione della Corte di Giustizia ha una valenza politica assai marcata.
Leggendo tra le righe, infatti, i Giudici europei hanno riaffermato un concetto chiaro che sarà la bussola che guiderà le future decisioni europee in materia data protection: la volontà di garantire una genuina ed effettiva sovranità dei dati dei cittadini europei.
_________________________________________________________________________________
- La direttiva 95/46/CE sul trattamento dei dati personali disponeva che il trasferimento di tali dati verso un paese terzo può avere luogo, in linea di principio, solo se il paese terzo di cui trattasi garantisce per questi dati un adeguato livello di protezione. Sempre secondo la direttiva, la Commissione può constatare che un paese terzo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, garantisce un livello di protezione adeguato. Infine, la direttiva prevede che ogni Stato membro designi una o più autorità pubbliche incaricate di sorvegliare l’applicazione nel suo territorio delle disposizioni di attuazione della direttiva adottate dagli Stati membri («autorità nazionali di controllo»). ↑
