x

x

Privacy - Corte di giustizia UE: sistema Safe Harbor inadeguato a tutelare i dati personali dei cittadini europei verso gli USA

Con storica sentenza dello scorso 6 ottobre, la Corte di Giustizia dell’Unione Europea ha invalidato la Decisione 2000/520/CE del 26 luglio 2000, con la quale la Commissione definiva adeguato il livello di protezione dei dati personali trasferiti verso gli USA attraverso il sistema Safe Harbor.

I fatti del caso iniziano nel 2013, Maximilian Schrems, giovane studente austriaco, si oppone alla decisione del Garante Privacy irlandese di non investigare la sua segnalazione relativa a possibili violazioni del Safe Harbor da parte di Facebook (i.e. Facebook Inc. ha sede fiscale e legale in Irlanda). L’autorità irlandese respingeva infatti la denuncia di Schrems affermando che era stata la Commissione Europea stessa a decidere che “gli Stati Uniti [garantivano] un livello adeguato di protezione dei dati personali trasferiti” attraverso prassi e misure in vigore sul territorio del paese e strettamente legate al Safe Harbor.

Investita della causa, la Suprema Corte Irlandese ha formulato un rinvio pregiudiziale alla Corte di Giustizia europea, interrogandola sull’adeguatezza del livello di protezione offerto dalle disposizioni dell’accordo in relazione all’articolo 28 della Direttiva 45/96 e agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea. Se infatti, secondo la High Court, tutti gli strumenti e gli atti comunitari, passati e presenti, devono essere guardati attraverso la lente della Carta dei diritti fondamentali, risulterebbe paradossale indebolire la privacy dei cittadini europei destinando il solo giudizio di adeguatezza alla Commissione, senza prevedere ulteriori livelli di protezione. Tutto ciò, ribadendo l’importanza di proteggere il diritto alla privacy degli individui con ogni mezzo a disposizione delle autorità garanti nazionali degli Stati Membri, in forza della Carta dei diritti fondamentali dell’Unione Europea, e senza pregiudizio per la discrezionalità dei garanti dei singoli Stati Membri.

In particolare, dunque, il giudice di ultima istanza ha domandato se la Decisione della Commissione alla base del Safe Harbor avesse quale effetto quello di limitare i poteri e la giurisdizione di un’autorità garante nazionale che volesse indagare su eventuali denunce e segnalazioni relative all’inadeguatezza del livello di protezione garantito da un paese terzo e, ove necessario, sospendere il medesimo trasferimento contestato.

Nella sua lunga e complessa argomentazione, la Corte UE ha rilevato innanzitutto come le esigenze della sicurezza nazionale Statunitense abbiano sempre avuto, storicamente e giuridicamente, natura prevalente “sul regime dell’[accordo] approdo sicuro”,legittimando di conseguenza una “disapplicazione senza limiti delle norme di  tutela previste da parte delle imprese americane aderenti al Safe Harbor. L’esistenza di una decisione della Commissione che aveva dichiarato idoneo il livello di protezione offerto ai dati trasferiti ben prima dell’avvento di Facebook e dei social network, è stato dunque valutato elemento insufficiente a ridurre i poteri di indagine ed intervento dei garanti nazionali.

Nonostante l’impatto enorme che la decisione rischia di avere sull’attuale framework normativo dell’Unione in materia di data protection, la Corte ha affermato la necessità di mettere un freno a pratiche elusive del sistema “approdo sicuro”, protette dal placet delle istituzioni europee.

Facebook in particolare, raccogliendo i dati personali degli utenti europei su server irlandesi, e trasferendoli successivamente negli USA attraverso Safe Harbor, “rende[va] possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone.Tali ingerenze, anche alla luce del recente scandalo ‘Datagate’ hanno reso possibile ‘la conservazione [indiscriminata] di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione verso gli Stati Uniti senza che sia [stata] operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione [...] limitat[a] allo stretto necessario’, ai sensi della Direttiva 45/96.

Inoltre, la Decisione della Commissione di stabilire che gli USA garantivano un adeguato livello di tutela della privacy in un periodo storico in cui il recente sviluppo tecnologico era ancora lontano, e senza prevedere alcun tipo di aggiornamento dei criteri legati al Safe Harbor, ha privato le autorità nazionali del controllo totale sui propri poteri, andando a compromettere la sicurezza dei dati dei cittadini europei in maniera molto grave.

Secondo la Corte: “una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata”. Pertanto, sulla scia dell’opinione dell’Avvocato Generale Bot, ha dichiarato invalida e priva di effetti la Decisione 2000/520/CE, e ribadito la necessità di riconsegnare alla giurisdizione delle autorità garanti nazionali quei poteri di tutela della privacy dei cittadini europei di cui il Safe Harbor li aveva sostanzialmente privati.

(Corte di Giustizia dell’Unione Europea, Sentenza 6 ottobre 2015, Causa C-362/14, Maximillian Schrems/Data Protection Commissioner)

Con storica sentenza dello scorso 6 ottobre, la Corte di Giustizia dell’Unione Europea ha invalidato la Decisione 2000/520/CE del 26 luglio 2000, con la quale la Commissione definiva adeguato il livello di protezione dei dati personali trasferiti verso gli USA attraverso il sistema Safe Harbor.

I fatti del caso iniziano nel 2013, Maximilian Schrems, giovane studente austriaco, si oppone alla decisione del Garante Privacy irlandese di non investigare la sua segnalazione relativa a possibili violazioni del Safe Harbor da parte di Facebook (i.e. Facebook Inc. ha sede fiscale e legale in Irlanda). L’autorità irlandese respingeva infatti la denuncia di Schrems affermando che era stata la Commissione Europea stessa a decidere che “gli Stati Uniti [garantivano] un livello adeguato di protezione dei dati personali trasferiti” attraverso prassi e misure in vigore sul territorio del paese e strettamente legate al Safe Harbor.

Investita della causa, la Suprema Corte Irlandese ha formulato un rinvio pregiudiziale alla Corte di Giustizia europea, interrogandola sull’adeguatezza del livello di protezione offerto dalle disposizioni dell’accordo in relazione all’articolo 28 della Direttiva 45/96 e agli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea. Se infatti, secondo la High Court, tutti gli strumenti e gli atti comunitari, passati e presenti, devono essere guardati attraverso la lente della Carta dei diritti fondamentali, risulterebbe paradossale indebolire la privacy dei cittadini europei destinando il solo giudizio di adeguatezza alla Commissione, senza prevedere ulteriori livelli di protezione. Tutto ciò, ribadendo l’importanza di proteggere il diritto alla privacy degli individui con ogni mezzo a disposizione delle autorità garanti nazionali degli Stati Membri, in forza della Carta dei diritti fondamentali dell’Unione Europea, e senza pregiudizio per la discrezionalità dei garanti dei singoli Stati Membri.

In particolare, dunque, il giudice di ultima istanza ha domandato se la Decisione della Commissione alla base del Safe Harbor avesse quale effetto quello di limitare i poteri e la giurisdizione di un’autorità garante nazionale che volesse indagare su eventuali denunce e segnalazioni relative all’inadeguatezza del livello di protezione garantito da un paese terzo e, ove necessario, sospendere il medesimo trasferimento contestato.

Nella sua lunga e complessa argomentazione, la Corte UE ha rilevato innanzitutto come le esigenze della sicurezza nazionale Statunitense abbiano sempre avuto, storicamente e giuridicamente, natura prevalente “sul regime dell’[accordo] approdo sicuro”,legittimando di conseguenza una “disapplicazione senza limiti delle norme di  tutela previste da parte delle imprese americane aderenti al Safe Harbor. L’esistenza di una decisione della Commissione che aveva dichiarato idoneo il livello di protezione offerto ai dati trasferiti ben prima dell’avvento di Facebook e dei social network, è stato dunque valutato elemento insufficiente a ridurre i poteri di indagine ed intervento dei garanti nazionali.

Nonostante l’impatto enorme che la decisione rischia di avere sull’attuale framework normativo dell’Unione in materia di data protection, la Corte ha affermato la necessità di mettere un freno a pratiche elusive del sistema “approdo sicuro”, protette dal placet delle istituzioni europee.

Facebook in particolare, raccogliendo i dati personali degli utenti europei su server irlandesi, e trasferendoli successivamente negli USA attraverso Safe Harbor, “rende[va] possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone.Tali ingerenze, anche alla luce del recente scandalo ‘Datagate’ hanno reso possibile ‘la conservazione [indiscriminata] di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione verso gli Stati Uniti senza che sia [stata] operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione [...] limitat[a] allo stretto necessario’, ai sensi della Direttiva 45/96.

Inoltre, la Decisione della Commissione di stabilire che gli USA garantivano un adeguato livello di tutela della privacy in un periodo storico in cui il recente sviluppo tecnologico era ancora lontano, e senza prevedere alcun tipo di aggiornamento dei criteri legati al Safe Harbor, ha privato le autorità nazionali del controllo totale sui propri poteri, andando a compromettere la sicurezza dei dati dei cittadini europei in maniera molto grave.

Secondo la Corte: “una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata”. Pertanto, sulla scia dell’opinione dell’Avvocato Generale Bot, ha dichiarato invalida e priva di effetti la Decisione 2000/520/CE, e ribadito la necessità di riconsegnare alla giurisdizione delle autorità garanti nazionali quei poteri di tutela della privacy dei cittadini europei di cui il Safe Harbor li aveva sostanzialmente privati.

(Corte di Giustizia dell’Unione Europea, Sentenza 6 ottobre 2015, Causa C-362/14, Maximillian Schrems/Data Protection Commissioner)