Caso Schrems II e i trasferimenti di dati personali verso gli Stati Uniti

Il 16 Luglio la Corte di Giustizia dell’Unione Europea ha adottato la decisione relativa al caso Data ProtectionCommission v. FacebookIreland, Maximilian Schrems (Case C-311/18). La sentenza ha annullato ilEU-US Privacy Shield, con pesanti conseguenze sui trasferimenti di dati personali verso gli Stati Uniti e non solo.


Questa decisione segna una tappa cruciale nella storia della strategic litigation, poiché si tratta di un utilizzo del contenzioso volto ad ottenere benefici che abbiano una ricaduta ben più ampia rispetto al caso specifico. Prima di spiegarne gli effetti pratici, occorre però una breve introduzione in materia di legislazione europea sul trattamento dei dati personali.


Il GDPR (General Data Protection Regulation 2016/679) contiene al capo V le norme relative ai trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali. Vi è infatti una sorta di divieto generale per il trasferimento dei dati al di fuori dell’Unione Europea; tale divieto è tuttavia soggetto ad una serie di eccezioni legate a delle condizioni che, se soddisfatte, legittimano il trasferimento. 


In particolare, l’articolo 45 GDPR stabilisce che il trasferimento di dati verso Paesi terzi può essere ammesso qualora vi sia stata una decisione favorevole della Commissione Europea relativa all’adeguatezza del livello di protezione adottato in un particolare Paese. Una di queste decisioni è appunto il EU-US Privacy Shield Framework, adottato il 12 giugno 2016.

Si tratta di un vero e proprio “scudo” al quale potevano aderire, certificandosi, imprese aventi sede legale negli Stati Uniti (si stima che vi abbiano aderito oltre 5.000 imprese americane), legittimando in tal modo l’import di dati da paesi membri dell’Unione Europea. Un ulteriore strumento di legittimazione, rilevante per il caso di specie, sono le Standard Contract Clauses (SCCs), ossia clausole contrattuali standard adottate dalla Commissione con la decisione 2010/87, tramite le quali le singole imprese possono regolare e legittimare a livello contrattuale i trasferimenti dei dati al di fuori dell’UE.

Fatto questo inquadramento, analizziamo ora la vicenda giudiziaria Schrems II. Si tratta di una costola della decisione Schrems I (Case C-362/14), con la quale la Corte di Giustizia aveva invalidato la decisione di adeguatezza della Commissione relativa all’accordo sul trasferimento dei dati denominato EU-US Safe Harbour. L’EU-US Safe Harbour permetteva alle imprese americane di autocertificarsi secondo alcuni standard di protezione dei dati, diventando soggetti capaci di ricevere legittimamente dati provenienti dall’UE.


Nel 2013 Maximilian Schrems ricorre per la prima volta al Garante della Privacy irlandese contro Facebook (il quale aveva aderito all’EU-US Safe Harbor), lamentando come questo svolgesse numerose attività di trattamento dei dati degli utenti (per le più svariate finalità) negli Stati Uniti, eludendo di fatto qualsiasi controllo europeo, anche di tipo giurisdizionale. In seguito ad un diniego da parte dell’Irish Data Protection Commissioner, Schrems fa ricorso all’Irish High Court, che solleva un quesito pregiudiziale alla Corte di Giustizia Europea relativo alla validità dell’EU-US Safe Harbor. La Corte di Giustizia, con la sentenza del 6 ottobre 2015 (Case C-362/14), annulla l’EU-US Safe Harbour in quanto inadeguato a garantire un livello adeguato di protezione dei dati rispetto alla normativa europea (in particolare relativamente alla mancanza di meccanismi di difesa dei diritti degli interessati).


Ciò porta all’adozione della decisione della Commissione europea del giugno 2016 (due mesi dopo l’entrata in vigore del GDPR), che ha creato l’EU-US Privacy Shield, strumento che imponeva maggiore trasparenza alle aziende e dotato di migliori rimedi rispetto al suo predecessore, in particolare prevedendo un sistema di mediazione. Si tratta del c.d. “Mediatore dello scudo”, autorità di vigilanza indipendente dotata di poteri di indagine. Il meccanismo di mediazione si fondava sulla base di una nomina di un Coordinatore in seno al Dipartimento di Stato USA che doveva fungere da referente per i governi stranieri in caso di questioni relative alle attività di intelligence condotte dagli Stati Uniti. Secondo la procedura sancita nel Privacy Shield, gli interessati (cittadini di un Paese membro dell’Unione Europea) qualora ritenessero che vi fosse stata un’ingerenza delle autorità di intelligence nei diritti fondamentali della propria persona potevano ricorrere al proprio garante nazionale, al quale poi sarebbe spettato il compito di inoltrare la richiesta al Mediatore dello Scudo.


Non pago di questa decisione, Schrems decide di continuare nella sua battaglia giudiziaria, portando all’attenzione del garante irlandese le Clausole Contrattuali Standard, sulle quali si era appoggiato Facebook Inc. per basare i trasferimenti dei dati con la propria succursale irlandese (in seguito all’annullamento dell’EU-US Safe Harbor).

In particolare, Schrems lamentava come tali clausole non consentissero comunque uno standard adeguato di protezione dei diritti degli interessati del trattamento, in quanto la legislazione americana in materia non prevede limiti ad eventuali interferenze da parte di soggetti terzi – in particolare quelle da parte del governo americano (si pensi ad esempio al Foreign Information Surveillance Act-FISA, che permette alle autorità statunitensi di avviare programmi di sorveglianza generici nel contesto di indagini molto ampie, non per forza legate a notizie di reato specifiche). 


La Corte di Giustizia, con la recentissima decisione, ha confermato la validità delle Clausole Contrattuali Standard, affermando come però le aziende debbano valutare le clausole caso per caso con riferimento alla legge del paese che riceve i dati personali, verificando che garantiscano un livello adeguato di protezione secondo gli standard europei. Esportatore e importatore (come ad esempio Facebook Irlanda e Facebook US) devono quindi determinare se il Paese che importa sia un Paese adeguato o se sia necessario integrare le clausole standard con misure ulteriori che vadano a mitigare i rischi relativi alla privacy collegati alle norme del Paese dove si trova l’azienda ricevente.


Allo stesso tempo, la Corte ha affermato che gli strumenti di intercettazione massivi utilizzati per la sicurezza nazionale statunitense siano in violazione dei diritti fondamentali delle persone i cui dati sono trasferiti; in particolare, individua un contrasto con i principi europei di necessità e proporzionalità (articolo 52 della Carta dei Diritti Fondamentali dell’Unione Europea). In tal senso il Privacy Shield non garantisce adeguatamente i diritti degli interessati ad avere un mezzo di tutela effettivo dei propri diritti come richiesto dall’articolo 47 dell’EU Charter in quanto non abilita il ricorso nei confronti di un giudice ordinario ma solamente nei confronti di un mediatore. In conclusione, la Corte di Giustizia sulla base delle motivazioni appena riassunte dichiara invalido il Privacy Shield. 

Quali sono le conseguenze di questa decisione?

Quello che si è creato è un grande vuoto normativo. Tutte le aziende che si appoggiavano al Privacy Shield devono ora individuare una nuova base giuridica che legittimi il trattamento secondo le norme del GDPR: se decidono di firmare un contratto che includa le SCCs, dovranno verificare che le protezioni previste negli Stati Uniti siano adeguate agli standard europei nel contesto del trasferimento specifico, prevedendo se necessarie delle garanzie ulteriori. Ci si chiede però quali potrebbero essere le clausole ulteriori che potrebbero risolvere – tramite un contratto – ciò che non è stato risolto nemmeno da un accordo pubblico della portata dell’US-Privacy Shield.


Una soluzione potrebbe essere rappresentata dalle Norme Vincolanti d’Impresa (BCRs), previste dall’articolo 47 del GDPR. Si tratta di una serie di clausole volte a regolare i trasferimenti di dati extra-UE tra aziende appartenenti ad uno stesso gruppo di imprese. Le BCRs devono essere approvate dall’autorità di controllo del Paese in cui hanno origine i trasferimenti di dati transfrontalieri, la quale procederà poi a coinvolgere le altre autorità coinvolte. Il processo di approvazione però è molto lungo e costoso e perciò risulterebbe accessibile solamente alle grandi aziende e non alle piccole-medie imprese.

In conclusione, la decisione della Commissione ha effetti anche al di fuori degli Stati Uniti: si pensi ai flussi di dati con paesi con la Cina e la Russia, ma anche al Regno Unito, e alle valutazioni che dovranno seguire in sede di stipula di clausole contrattuali standard.  

STRALI ETS-ODV

C.so Re Umberto 5 bis

10121 Torino

CF 97836260014

info@strali.org

© 2020 by StraLi