Schrems, la sentenza: il Safe Harbor è invalido

Da Franzrusso @franzrusso

La CGUE ha emesso ieri la sentenza sulla questione pregiudiziale relativa alla causa proposta da Max Schrems e conosciuta come “Europe versus Facebook”: la decisione 2000/520 è invalida. Pertanto, l’Irlanda dovrà valutare se il trasferimento dei dati degli utenti di Facebook verso gli Stati Uniti deve essere sospeso “perchè tale paese non offre un livello  di protezione dei dati personali adeguato”.

Ieri è stato il giorno della prima vittoria per Max Schrems, promotore della famosa causa Europe versus Facebook : la Corte di Giustizia Europea (CGUE) ha emesso la sentenza relativa alla questione pregiudiziale sollevata dalla High Court irlandese e, in accordo con le conclusioni dell’Avvocato Generale Yves Bot, di cui ho parlato nel mio articolo “Schrems vs Facebook: Bot, i singoli Stati possono fermare il trasferimento di dati“, ha stabilito che il Safe Harbor, adottato con la decisione n. 2000/520, è invalido. La decisione della CGUE, a mio parere non del tutto inattesa – le conclusioni dell’Avvocato Generale sono state davvero circostanziate -, apre uno scenario abbastanza complesso, del quale sarà molto interessante seguire gli sviluppi. Vediamo le motivazioni della sentenza della CGUE, le prime reazioni e le conseguenze del provvedimento.

Caso Schrems vs Facebook: le motivazioni della sentenza della CGUE

La Corte di Giustizia Europea, nella sentenza relativa alla questione pregiudziale sollevata dall’Alta Corte dell’Irlanda nel corso del giudizio promosso da Max Schrems nei confronti del Data Protection Commissioner, fa una prima, importante precisazione: in data 27 novembre 2013  la Commissione ha adottato, al Parlamento Europeo e al Consiglio, una comunicazione dal titolo “Ricostruire la fiducia nel Flusso dei Dati UE – USA”, accompagnata da una relazione redatta in collaborazione con gli Stati Uniti e contenente i risultati del gruppo di lavoro sulla protezione dei dati, dopo la rivelazione dell’esistenza di programmi di sorveglianza negli USA che comportano la raccolta e il trattamento dei dati personali su larga scala. Nelle conclusioni della relazione – contenente un’analisi della legge degli USA, con particolare riguardo alle basi giuridiche dell’autorizzazione all’esistenza dei programmi di sorveglianza e alla raccolta e trattamento dei dati personali da parte delle autorità statunitensi – si legge che l’accesso in larga scala, da parte di agenzie di intelligence, ai dati trasferiti negli USA con il Safe Harbor da società come Google, Facebook, Apple, Microsoft e Yahoo – che hanno centinaia di milioni di clienti in Europa e trasferiscono i dati personali negli Stati Uniti per il loro trattamento – “solleva questioni gravi per quanto riguarda la continuità dei diritti alla protezione dei dati degli europei quando i loro dati sono trasferiti agli Stati Uniti”.

In merito, al caso Schrems, la CGUE osserva che, ai sensi dell’art. 25 della Direttiva 95/46, i trasferimenti dei dati personali verso un paese terzo possono avvenire a condizione che quest’ultimo garantisca un adeguato livello di protezione dei dati personali – anche se il preambolo del considerando 56 della Direttiva sopra citata afferma che tali trasferimenti sono necessari per l’espansione del commercio internazionale -. Il considerando 57 della medesima Direttiva stabilisce, peraltro, che devono essere vietati i trasferimenti di dati pesonali verso i paesi terzi che non garantiscono un livello di protezione adeguato.

La Corte aggiunge che la Commissione può adottare, sulla base dell’art. 25 della Direttiva 95/46, una decisione che constata che un paese terzo assicura un adeguato livello di protezione; gli Stati membri devono adottare le misure necessarie per conformarsi a questa decisione e non possono adottare misure contrarie. La decisione della Commissione può essere dichiarata nulla dalla Corte di Giustizia Europea ma, in ogni caso, non possono essere impediti i reclami – per la tutela dei propri diritti e libertà circa il trattamento dei propri dati personali – da parte di coloro i cui dati personali sono stati trasferiti o possono essere trasferiti a un paese terzo, ai sensi dell’art. 28 della Direttiva. In caso contrario, sarebbe negato il diritto di presentare una richiesta di tutela dei propri diritti fondamentali alle autorità di vigilanza nazionali, garantito dall’art. 8 della Carta dei Diritti Fondamentali dell’Unione Europea. La decisione della Commissione – nel caso specifico la decisione 2000/520 – non impedisce, inoltre, che l’autorità di vigilanza di uno stato membro possa esaminare la richiesta di una persona relativa alla tutela dei propri diritti e libertà con riguardo al trattamento dei dati personali trasferiti in un paese terzo nel quale la medesima afferma che la legge e la prassi in vigore non garantiscono un livello di protezione adeguato.

Schrems, infatti, afferma – come sottolineato anche dall’avvocato Bot nelle sue conclusioni – che ha dubbi sulla validità della decisione 2000/520 (condivisi dal giudice del rinvio). La CGUE, esaminato il provvedimento, osserva che l’art. 1 della decisione appena descritta non ha indicato che gli Stati Uniti assicurano, di fatto, un adeguato livello di protezione in virtù della propria legislazione o degli impegni internazionali; di conseguenza, non rispetta i requisiti richiesti dall’art. 25 della Direttiva 95/46 – letto alla luce della Carta dei Diritti Fondamentali della UE – ed è, quindi, invalida. Analogamente, il primo comma dell’art. 3 della decisione in questione va inteso nel senso che nega alle autorità di vigilanza nazionali il potere di verificare se la decisione della Commissione che ha constatato che un paese terzo garantisce un adeguato livello di protezione è compatibile con la tutela della privacy, dei diritti fondamentali e delle libertà degli individui. Poichè gli articoli 1 e 3 della decisione non possono essere separati dagli articoli 2 e 4 della medesima decisione e dagli allegati, la loro “invalidità incide sulla validità della decisione nel suo complesso”.

Alla luce di tutte queste considerazioni, la CGUE ha stabilito che la decisione 2000/520 – il c.d. Safe Harbor – è invalida.

Il caso Schrems e la sentenza della CGUE: le reazioni e le conseguenze

La sentenza della CGUE ha, ovviamente, scatenato moltissime reazioni. Nel corso della conferenza stampa, il Commissario per la Giustizia Vera Jourova ha dichiarato che la UE sta studiando, già dal 2013, un nuovo accordo con gli USA per la gestione e lo scambio dei dati personali. Ha aggiunto che la Commissione europea presenterà, nelle prossime settimane, un piano per dare attuazione alla sentenza della Corte di Giustizia. Il vicepresidente della commissione europea Frans Timmermans ha precisato che “La sentenza è un passo importante verso il rafforzamento del diritto degli europei alla protezione dei dati personali” e che “in queste settimane incontreremo le autorità nazionali per la protezione dei dati personali e insieme a loro discuteremo come applicare questa sentenza”. Il portavoce di Facebook chiede che UE e USA collaborino allo scopo di assicurare che “continueranno a fornire metodi affidabili per il trasferimento legale di dati e di risolvere qualsiasi questione relativa alla sicurezza nazionale”.

Quali saranno le conseguenze della sentenza della CGUE? Nel comunicato stampa si legge che l’autorità irlandese di controllo dovrà esaminare la denuncia di Max Schrems e, nel caso in cui accerti che gli Stati Uniti non offrono un adeguato livello di protezione dei dati personali, dovrà decisdere se sospendere – in base alla Direttiva 95/46 – “il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti”.

A seguito della sentenza della CGUE, la vicenda si fa sempre più interessante, e continueremo a seguirla. Nel frattempo, aspettiamo le vostre impressioni e opinioni nei commenti.