Sta facendo parlare – e molto qualcuno ha parlato di “terremoto digitale con epicentro Bruxelles” – la recente sentenza della Corte di Giustizia UE con la quale è stato deciso che l’accordo c.d. del Safe Harbour, cioè la norma sull’approdo sicuro dei dati personali trasferiti verso gli USA che ha certificato 15 anni fa i rapporti di fiducia tra Bruxelles e gli Stati Uniti, non è valido.
Il caso C-362/14 Maximillian Schrems vs. Data Protection Commissioner. Il caso è presto riassunto Maximilian Schrems è un cittadino austriaco che fin dal 2008 è titolare di un account Facebook. Come per molti altri utenti titolari di un account Facebook, alcuni dei dati personali forniti da Schrems a Facebook vengono trasferiti dai server della società irlandese controllata da Facebook verso server ubicati negli Stati Uniti d’America, dove sono oggetto di trattamento. Lo studente austriaco propone ricorso all’Autorità per la protezione dei dati personali irlandese il “Data Protection Commissioner” sostenendo che in base alle rivelazioni fatte da Edward Snowden nel 2013 circa le attività dei servizi di intelligence USA in particolare la National Security Agency – NSA e il programma di controllo Prism , il quadro giuridico degli Stati Uniti non offrirebbe quell’«adeguato livello di protezione dei dati personali» con particolare riferimento alle attività di sorveglianza delle autorità pubbliche che è presupposto ineliminabile tanto nella Direttiva UE sulla tutela dei dati personali, quanto nelle legislazioni nazionali di recepimento degli Stati Membri per rendere lecito il trasferimento dei dati verso gli USA. Il Garante privacy irlandese respinge il ricorso richiamando in particolare la Decisione 26 Luglio 2000 numero 520 della Commissione UE, secondo la quale i «Principi di approdo sicuro in materia di riservatezza» allegati alla medesima decisione, applicati in conformità agli orientamenti forniti da talune «Domande più frequenti» FAQ parimenti allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla Unione Europea ad organizzazioni aventi sede negli Stati Uniti sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense. In base dunque alla c.d. Decisione Safe Harbour, la Commissione UE considerava gli Stati Uniti come Paese che assicura un adeguato livello di protezione dei dati personali ivi trasferiti. L’Alta Corte irlandese, alla quale Maximilian Schrems si rivolge per impugnare la deliberazione del Data Protection Commissioner, decide quindi di coinvolgere la Corte di Giustizia UE sollevando una questione interpretativa preliminare per accertare se la Decisione Safe Harbour determina l’effetto di impedire che una Autorità privacy nazionale possa decidere su un ricorso che contesti che un paese terzo non assicura un adeguato livello di protezione dei dati e – ove appropriato – sospenda il trasferimento dei dati. La sentenza della Corte di Giustizia UE e l’annullamento della Decisione Safe Harbour. Nella sua sentenza del 6 ottobre 2015, la Corte di Giustizia UE ha chiarito che l’esistenza di una decisione della Commissione che stabilisce che un paese terzo ovviamente extra UE assicura un adeguato livello di protezione dei dati personali trasferiti in quel Paese non può eliminare - e nemmeno ridurre o limitare - i poteri delle Autorità di controllo nazionali ai sensi sia della Carta Fondamentale dei Diritti dell’Unione Europea che della Direttiva sulla protezione dei dati la Direttiva 95/46/CE . In particolare la Corte di Giustizia richiama il diritto alla protezione dei dati personali garantito dalla Carta e i compiti di tutela demandati sempre dalla Carta alle Autorità nazionali di garanzia. Più in particolare, la Corte di Giustizia UE precisa che nessuna disposizione della Direttiva europea sulla Tutela dei Dati Personali vieta alle Autorità nazionali di garanzia di sovrintendere o valutare i trasferimenti di dati personali verso Paesi terzi extra UE che sono stati oggetto di una Decisione della Commissione UE. Di conseguenza, anche ove la Commissione abbia adottato una decisione, le Autorità nazionali di supervisione, se investite di un ricorso, devono e possono esaminare in completa indipendenza se un trasferimento di dati personali verso un Paese terzo rispetta i requisiti contenuti nella Direttiva UE sulla protezione dei dati. Non di meno, la Corte evidenzia che essa sola ha il potere di dichiarare che un atto comunitario – come una decisione della Commissione – è invalido. Di conseguenza, ove una autorità nazionale o la persona che ha avviato un ricorso davanti all’autorità nazionale considerino che una decisione della Commissione è invalida, tale autorità o quella persona devono avere la facoltà di portare il ricorso e il relativo procedimento avanti ai tribunali nazionali affinchè questi possano deferire il caso alla Corte di Giustizia se vi sono dubbi circa la validità dell’atto comunitario. Chiariti questi presupposti, la Corte esamina poi se la Decisione Safe Harbour possa essere considerata invalida. In tale prospettiva, i giudici europei partono dal presupposto che la Commissione UE era stata richiesta di verificare se gli Stati Uniti d’America di fatto assicurassero, in base alle leggi nazionali o in base ad impegni discendenti da impegni assunti da quel Paese a livello internazionale, un livello di protezione dei diritti fondamentali quale è quello alla protezione delle informazioni personali essenzialmente equivalente a quello garantito all’interno dell’Unione Europea dalla Direttiva sulla protezione dei dati letta – però - alla luce della Carta Fondamentale dei Diritti UE. Conclude la Corte, tuttavia, che la Commissione non effettuò tale verifica, limitandosi ad esaminare semplicemente il c.d. “schema di approdo sicuro” cioè un insieme di principi relativi alla protezione dei dati ai quali le organizzazione con sede negli Stati Uniti dovevano aderire su base volontaristica . Schema di approdo sicuro. Senza approfondire gli aspetti se tale schema garantisca o meno un livello di protezione dei dati trasferiti essenzialmente equivalente a quello in vigore nella UE, la Corte osserva che lo “schema di approdo sicuro” è applicabile esclusivamente alle imprese americane che ad esso aderiscono, mentre le stesse autorità pubbliche USA non sono invece soggette a tale schema. Inoltre, esigenze sovrane quali la sicurezza nazionale, il pubblico interesse e le necessità di applicazione di principi normativi dell’ordinamento degli Stati Uniti d’America prevalgono sullo “schema di approdo sicuro”, con la oggettiva conseguenza che le organizzazioni con sede negli USA sono addirittura obbligate, senza limitazione alcuna, a disapplicare i principi di tale schema cui pure abbiano aderito se essi entrano in conflitto che le superiori esigenze pubbliche appena segnalate. Lo schema di approdo sicuro come applicato negli USA rende dunque possibile l’interferenza – da parte delle autorità pubbliche americane – con i diritti fondamentali delle persone e la Decisione Safe Harbour della Commissione non solo non fa riferimento alla esistenza negli Stati Uniti d’America di regole che possano limitare tale interferenza, ma neanche alla esistenza di effettive tutele legali che proteggano da una tale interferenza. Tra l’altro, la Corte integra la propria analisi sullo “schema di approdo sicuro” facendo riferimento al quadro che emerso da due Comunicazioni della Commissione UE la Comunicazione “Ricostruire la fiducia UE-USA nello scambio dei dati personali” COM2013/846 del 27 Novembre 2013 e la Comunicazione della Commissione europea al Parlamento europeo sul funzionamento del Safe Harbour dalla prospettiva dei cittadini europei e delle imprese con sede nell’Unione Europea COM2013/847 del 27 Novembre 2013 . La Commissione europea aveva difatti suggerito nel 2013 le azioni da intraprendere per ripristinare un clima di fiducia negli scambi di dati fra l'UE e gli USA a seguito delle profonde preoccupazioni sulle rivelazioni di programmi di raccolta di intelligence su larga scala degli Stati Uniti, che hanno avuto un impatto negativo sulle relazioni fra le due sponde dell'Atlantico. La risposta della Commissione si articolava 1 in un documento strategico comunicazione sui flussi di dati transatlantici, che indica le sfide e i rischi emersi a seguito delle rivelazioni dei programmi di raccolta di intelligence statunitensi, e le misure da prendere per affrontare queste preoccupazioni 2 in un'analisi del funzionamento della Decisione Safe Harbour 3 una relazione sui risultati del gruppo di lavoro UE-USA cfr. MEMO/13/1059 sulla protezione dei dati, costituito nel luglio 2013 4 una revisione degli accordi esistenti sui dati del codice di prenotazione Passenger Name Record, PNR cfr. MEMO/13/1054 e sul programma di controllo delle transazioni finanziarie dei terroristi Terrorist Finance Tracking Programme, TFTP che regolano gli scambi di dati in questi settori a fini di contrasto cfr. MEMO/13/1164 . 13 le raccomandazioni correttive. Vi è da dire che la stessa Commissione UE già nel 2013 – al fine di rendere più sicuro il regime “Approdo sicuro” – aveva suggerito 13 raccomandazioni correttive alla Decisione Safe Harbour per migliorarne il funzionamento, evidenziando come essa fosse carente sotto parecchi aspetti. E inoltre, la stessa Commissione – a conclusione dell’analisi condotta nel 2013 dopo lo scandalo successivo alle rivelazioni di Snowden – aveva riconosciuto che le autorità degli Stati Uniti d’America erano in grado di accedere ai dati personali trasferiti negli USA dall’UE e di trattarli in modalità incompatibili sia con gli scopi del trasferimento sia oltre quanto necessario e proporzionato alla luce della necessità di preservare la sicurezza nazionale. Inoltre, la Commissione osservò che le persone e le organizzazioni non avevano mezzi amministrativi o giurisdizionali per l’esercizio dei propri diritti di accesso ai dati, di rettifica o di cancellazione. Con riguardo alle valutazioni sul livello di protezione essenzialmente equivalente a quello garantito a tutela dei diritti e delle libertà fondamentali nella UE – continua la Corte di Giustizia UE nella sua sentenza – i giudici europei affermano che ai sensi della legislazione UE, ove essa autorizzi come nella Decisione Safe Harbour , in via generale, la conservazione di tutti i dati personali di tutti i soggetti le cui informazioni sono trasferite dall’Europa agli Stati Uniti, tale legislazione non limita i trattamenti a quanto strettamente necessario ed inoltre non prescrive la necessità di individuare differenziazioni, limitazioni o eccezioni alla luce delle finalità perseguite né pone un criterio oggettivo per determinare i limiti di accesso ai dati da parte delle autorità pubbliche e il conseguente uso dei dati trasferiti. Di conseguenza, continua la Corte UE, una regolamentazione che consenta alle autorità pubbliche l’accesso in via generalizzata al contenuto di dati e comunicazioni elettroniche deve essere valutata come in grado di compromettere l’essenza del diritto fondamentale al rispetto della vita privata. D’altro canto, la Corte osserva che una regolamentazione che non preveda alcuna possibilità per i soggetti interessati di avvalersi di rimedi legali per accedere ai propri dati personali o di ottenere la rettifica o la cancellazione di tali dati compromette l’essenza del diritto fondamentale alla effettiva protezione giudiziale, diritto connaturato allo stesso principio di legalità. Infine la Corte UE evidenzia che la Decisione Safe Harbour impedisce alle autorità nazionali di controllo es i Garanti privacy di valutare i reclami di soggetti che richiedono ad esse di valutare se la Decisione è compatibile con la protezione della privacy e dei diritti e libertà fondamentali degli individui. E’ in tale prospettiva che la Corte severamente dichiara che la Commissione non aveva competenza per restringere in tal modo tali poteri in capo alle autorità nazionali di supervisione e controllo. Per tutte tali argomentazioni, la Corte di Giustizia ha dichiarato invalida la Decisione Safe Harbour.