Lo “scudo per la privacy” USA-UE è cassato dalla Corte di Giustizia

I media hanno dato (giustamente) ampio spazio alla decisione della Corte di Giustizia (CG) 16.07.2020, C-311/18, Schrems II, con cui è stata annullata la decisione <scudo per la privacy>  (SPP) 12.07.2016 2016/1250.

Era capitato che Maximillian Schrems aveva contestato presso il Garante Irlandese il trasferimento dei suoi dati in server statunitensi, da parte di Facebook, p. 52.

Dopo una prima vittoria in sede europea con sentenza CG 6.10.2015, C-362/14, Schrems era ricorso ancora contro la successiva decisione della Commissione, appunto la sopra citata SPP.

Nella nuova denuncia <il sig. Schrems ha fatto valere, in particolare, che il diritto statunitense impone a Facebook Inc. di mettere a disposizione delle autorità statunitensi, quali la National Security Agency (NSA) e le Federal Bureau of Investigation (FBI), i dati personali che le sono trasferiti. Egli ha sostenuto che, poiché tali dati sono utilizzati nell’ambito di diversi programmi di sorveglianza in modo incompatibile con gli articoli 7, 8, e 47 della Carta, la decisione CPT non può giustificare il trasferimento dei suddetti dati verso gli Stati Uniti. Il sig. Schrems ha pertanto chiesto al Commissario di vietare o di sospendere il trasferimento dei suoi dati personali verso Facebook Inc.>, p. 55.

Ricordo solo tre punti.

1° punto (quest. preg. 2°, 3°, 6°)

la CG continua nella sua intepretazione del rapporto tra ordinamento europeo e nazionali:

<100  Secondo costante giurisprudenza, inoltre, la validità delle disposizioni del diritto dell’Unione e, in mancanza di un espresso richiamo al diritto nazionale degli Stati membri, la loro interpretazione non possono essere valutate alla luce di tale diritto nazionale, neppure di rango costituzionale, in particolare dei diritti fondamentali quali formulati nella loro Costituzione nazionale (v., in tal senso, sentenze del 17 dicembre 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, punto 3; del 13 dicembre 1979, Hauer, 44/79, EU:C:1979:290, punto 14, nonché del 18 ottobre 2016, Nikiforidis, C‑135/15, EU:C:2016:774, punto 28 e giurisprudenza ivi citata.>

Per concludere sul quesito posto che <l’articolo 46, paragrafo 1, e l’articolo 46, paragrafo 2, lettera c), del RGPD devono essere interpretati nel senso che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti da tali disposizioni devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo sul fondamento di clausole tipo di protezione dei dati godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta. A tal fine, la valutazione del livello di protezione garantito nel contesto di un trasferimento siffatto deve, in particolare, prendere in considerazione tanto le clausole contrattuali convenute tra il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione e il destinatario del trasferimento stabilito nel paese terzo interessato quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese terzo ai dati personali così trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo, in particolare quelli enunciati all’articolo 45, paragrafo 2, di detto regolamento>, p. 105.

Che si debba porre attenzione alle norme del paese trasferitario, pare una ovvietà

2° punto (quest. preg. 8°):

e’ vero che la decisione di adeguatezza e conformità della Commissione è sì vincolante per gli Stati fino a che non venga annullata.

Tuttvia ciò non può impedire ai Garanti di eseguire un loro sindacato: <non può impedire alle persone i cui dati personali sono stati o potrebbero essere trasferiti verso un paese terzo di investire, in applicazione dell’articolo 77, paragrafo 1, del RGDP, l’autorità nazionale di controllo competente di un reclamo relativo alla protezione dei loro diritti e delle loro libertà con riguardo al trattamento di tali dati. Analogamente, una decisione di tal genere non può né annullare né ridurre i poteri espressamente riconosciuti alle autorità nazionali di controllo dall’articolo 8, paragrafo 3, della Carta nonché dall’articolo 51, paragrafo 1, e dall’articolo 57, paragrafo 1, lettera a), di detto regolamento>, p. 119.

Ne segue che,  <anche in presenza di una decisione di adeguatezza della Commissione, l’autorità nazionale di controllo competente, investita da una persona di un reclamo relativo alla protezione dei suoi diritti e delle sue libertà rispetto ad un trattamento di dati personali che la riguardano, deve poter esaminare, in piena indipendenza, se il trasferimento di tali dati rispetti i requisiti posti dal RGPD e, se del caso, proporre un ricorso dinanzi ai giudici nazionali affinché questi ultimi procedano, se condividono i dubbi di tale autorità quanto alla validità della decisione di adeguatezza, ad un rinvio pregiudiziale diretto all’esame della suddetta validità>, p. 120..

3° punto (quest. preg. 4° , 5°, 9° ), §§ 150 ss.

E’ il succo della sentenza.

Il giudice a quo dubita della compatibilità della SPP con alcuni articoli dell Carta dei diritti fondametali UE: cioè con gli articoli 7 (vita privata e familiare),  8 (personal data protection) e 47 (diritto a un ricorso effettivo e  imparziale).

I poteri inquisitori delle agenzia di sicurezza USA erano stati considerati dalla Commissione nella SPP (§§ 164-167). Tuttavia la CG deve riesaminarli autonomamente, § 178 ss

La CG ritiene che la conformità al livello minimo europeo manchi, sia in riferimento all’art. 702 del FISA-Foreign Intelligence Surveillance Act (su cui v. § 109), da un lato, sia in riferimento all’executive order 12333 e al PPD-28 (Presidential Policy directive 28, su cui v. § 45 e qui § 68 della sua precedente decisione), dall’altro: v. le conclusioni al § 180 e, rispettivamente, al § 184.

In conclusione, <l’articolo 1 della decisione «scudo per la privacy» è incompatibile con l’articolo 45, paragrafo 1, del RGPD, letto alla luce degli articoli 7, 8 e 47 della Carta, e che esso è per tale motivo invalido>, § 199.

Ne segue che, <poiché l’articolo 1 della decisione «scudo per la privacy» è inscindibile dagli articoli da 2 a 6, nonché dagli allegati della medesima, la sua invalidità ha l’effetto di inficiare la validità di tale decisione nel suo complesso.    Alla luce di tutte le considerazioni che precedono, si deve concludere che la decisione «scudo per la privacy» è invalida>, §§ 200-201.

Nè ci sono esigenze transitorie che impongano di <mantenere gli effetti di tale decisione al fine di evitare la creazione di una lacuna giuridica>. Infatti, <tenuto conto dell’articolo 49 del RGPD, l’annullamento di una decisione di adeguatezza come la decisione «scudo per la privacy» non è idoneo a creare una lacuna giuridica siffatta. Tale articolo stabilisce, infatti, in modo preciso, a quali condizioni possono aver luogo trasferimenti di dati personali verso paesi terzi in assenza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, di detto regolamento o di garanzie appropriate ai sensi dell’articolo 46 del medesimo regolamento>, § 202.

Pertanto i trasferimenti di dati negli Stati Uniti, operati da Facebook, Google, Instagram, Microsodft o da chiunque altro (anche tramite i servizi cloud), non rispettano il GDPR.

Con problemi non irrisori per chi in Italia offre servizi informatici che appunto presuppongano tali trasferimenti.

Commento ora in medialaws.eu da parte di A. Cristofano,  La Sentenza Schrems II e il judicial activism della Corte di Giustizia dell’Unione Europea. Verso un GDPR a vocazione universale?, 15.02.2021.