NEWS

Ora che il Privacy Shield è andato in fumo sono milioni le imprese e gli operatori in un 'cul de sac'

Al “Privacy Shield” è toccato, in sostanza, il destino del “Safe Harbor” – Nella decisione della Corte di Giustizia ha pesato, segnatamente, il primato delle esigenze di sicurezza nazionale, interesse pubblico e amministrazione della giustizia, tale da consentire ingerenze del governo nei diritti fondamentali delle persone fisiche i cui dati sono trasferiti alle imprese U.S.A. – A ciò si è aggiunta la verifica della mancanza di garanzie di indipendenza, rispetto al Dipartimento di Stato U.S.A., della figura del Mediatore dello “Scudo Privacy”, in contrasto con l’articolo 47 della Carta dei Diritti Fondamentali dell'Unione Europea.

La Corte di Giustizia dell'UE ha invalidato il Privacy Shield


Malgrado il fatto che la prudenza sempre suggerisca di mettere, come dire, nel conto qualsiasi sviluppo (soprattutto in una disciplina insidiosa come quella della data protection), la decisione della Corte di Giustizia dell'Unione Europea nella causa C-311/18 del 16 luglio 2020 è una sorta di ghigliottina che cala in modo drammatico - anche per l'inevitabile immediatezza - sulla circolazione/trattamento di miliardi di informazioni/dati personali e sull'operatività quotidiana di milioni di imprese, enti, operatori, di qua e di là dell'Atlantico.

Rammentiamo che la decisione del 12 luglio 2016, n. 2016/1250 (il c.d. “Privacy Shield”), adottata dalla Commissione per i trasferimenti di dati personali dal territorio dello Stato membro verso le organizzazioni presenti negli Stati Uniti, riguardava le imprese inserite nell'elenco degli aderenti allo Scudo: elenco tenuto e pubblicato dal Dipartimento del Commercio degli Stati Uniti, per il quale le imprese statunitensi erano tenute ad autocertificare su base annuale il rispetto di determinati obblighi, a pubblicare una privacy policy/informativa sui rispettivi siti web, a rispondere tempestivamente ai reclami, a collaborare con le Autorità europee per la protezione dei dati. Stando anche alle indicazioni del Gruppo di lavoro articolo 29, il titolare/responsabile stabilito in UE, prima di trasferire dati personali ad una impresa stabilita negli USA, era tenuto ad accertarsi che essa fosse effettivamente certificata ai sensi del “Privacy Shield” e che tale certificazione coprisse determinate tipologie di dati (dati relativi alle risorse umane ovvero dati non relativi alle risorse umane).

Con sentenza pronunciata il 6 ottobre 2015, la Corte di Giustizia, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), dichiarava invalida la decisione 2000/520 (nota come “approdo sicuro” o “Safe Harbor”) della Commissione. La si può chiamare - come fa la stessa Corte nel comunicato n. 91-20 - “sentenza Schrems I”. Prosegue il comunicato: “a seguito della sentenza Schrems I e del successivo annullamento, ad opera del giudice irlandese, della decisione di rigetto della denuncia del sig. Schrems, l’autorità di controllo irlandese ha invitato quest’ultimo a riformulare la sua denuncia tenendo conto della dichiarazione di invalidità, da parte della Corte, della decisione 2000/520”. Nella sua denuncia riformulata il sig. Schrems ha sostenuto che gli Stati Uniti non offrivano una protezione sufficiente per i dati ivi trasferiti e chiedeva di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dall’Unione verso gli Stati Uniti, che Facebook Ireland effettuava oramai sul fondamento delle clausole tipo di protezione contenute nell’allegato della decisione 2010/87.

Ebbene, con la sua domanda di pronuncia pregiudiziale, il giudice del rinvio ha interrogato la Corte sull’applicabilità del Regolamento a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto da tale Regolamento nel quadro di un trasferimento siffatto e sugli obblighi che incombono alle autorità di controllo in tale contesto.

Ma il sig. Schrems ha anche chiesto di vietare o sospendere il trasferimento, da parte di Facebook Ireland, dei suoi dati personali a Facebook Inc., stabilita negli Stati Uniti, in quanto tale Paese terzo non avrebbe garantito/garantirebbe un livello di protezione adeguato. Il giudice adito, alla luce delle prove prodotte e del contraddittorio svoltosi dinanzi ad esso, si è interrogato sulla fondatezza dei dubbi del sig. Schrems circa l’adeguatezza del livello di protezione assicurato in tale paese terzo, malgrado quanto constatato nel frattempo dalla Commissione nella decisione “scudo per la privacy”.

La High Court ha dunque sollevato la questione della validità tanto della decisione 2010/87 quanto della decisione 2016/1250.

Come già si evince da questo excursus, la pronuncia della CGUE ha un oggetto/perimetro più ampio del “Privacy Shield”, concernendo anche le clausole tipo di protezione dei dati ai sensi dell'art. 46.2, lett. c) del Regolamento UE 2016/679, per le quali tuttavia il punto 4 del dispositivo stabilisce, in conclusione, la loro perdurante validità (“... dall’esame della decisione 2010/87/UE della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, come modificata dalla decisione di esecuzione (UE) 2016/2297 della Commissione, del 16 dicembre 2016, alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali non è emerso alcun elemento idoneo ad inficiarne la validità”).

In fumo il Privacy Shield a seguito della sentenza della Corte di Giustizia UE

E anche se solo uno sguardo superficiale – ovvero non ben ponderato - lascerebbe supporre che, per ciò stesso, il ricorso alle clausole tipo possa dunque considerarsi pacifico e tranquillo, nondimeno protagonista di questo contributo è la decisione sul “Privacy Shield”, quella per cui, stando al punto 5 del dispositivo, “la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy, è invalida.”

Si legge in sentenza che “la Commissione ha constatato, all’articolo 1, paragrafo 1, della decisione «scudo per la privacy», che gli Stati Uniti assicurano un livello adeguato di protezione dei dati personali trasferiti dall’Unione verso organizzazioni stabilite negli Stati Uniti nell’ambito dello scudo per la privacy Unione europea-Stati Uniti, il quale, in forza dell’articolo 1, paragrafo 2, di tale decisione, è segnatamente costituito dai principi emanati dal Dipartimento del Commercio degli Stati Uniti il 7 luglio 2016, riportati nell’allegato II della stessa decisione, e dalle dichiarazioni e dagli impegni ufficiali riportati nei documenti di cui agli allegati I e da III a VII.” Ma è altrettanto vero che “la decisione «scudo per la privacy», al punto I.5. del suo allegato II rubricato «Principi del regime dello scudo [Unione europea-Stati Uniti] per la privacy», precisa altresì che l’adesione a tali principi può essere limitata «se ed in quanto necessario per soddisfare esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia». Pertanto, detta decisione, al pari della decisione 2000/520, sancisce il primato delle suddette esigenze rispetto a tali principi, primato in forza del quale le organizzazioni statunitensi autocertificate che ricevono dati personali dall’Unione sono tenute a disapplicare, senza limiti, tali principi allorché questi ultimi interferiscono con tali esigenze e risultano dunque incompatibili con le medesime”.

Questa deroga contenuta al punto I.5. dell’allegato II del “Privacy Shield” rende pertanto possibili ingerenze fondate su esigenze connesse alla sicurezza nazionale e all’interesse pubblico o alla legislazione interna degli Stati Uniti nei diritti fondamentali delle persone i cui dati personali sono o potrebbero essere trasferiti dall’Unione verso gli Stati Uniti: “più in particolare – si legge in un successivo passaggio - (...) siffatte ingerenze possono derivare dall’accesso, da parte delle autorità pubbliche statunitensi, ai dati personali, trasferiti dall’Unione verso gli Stati Uniti, e dall’utilizzo di tali dati nell’ambito dei programmi di sorveglianza PRISM e UPSTREAM fondati sull’articolo 702 del FISA, nonché sulla base dell’E.O. 12333.” Osserva ancora la Corte come ad avviso del giudice remittente, “l’instaurazione del Mediatore dello scudo per la privacy non può, (...), porre rimedio a tali lacune in quanto detto Mediatore non sarebbe assimilabile ad un giudice, ai sensi dell’articolo 47 della Carta.”

Il richiamo agli artt. 7 (rispetto della vita privata e familiare) e 8 (protezione dei dati di carattere personale) della Carta dei Diritti Fondamentali dell'Unione Europea e la verifica del loro rispetto restano base imprescindibile delle decisioni di adeguatezza che la Commissione assume ai sensi dell'art. 45.1 del Regolamento. Ed è proprio alle luce degli artt. 7 e 8 che la decisione sul “Privacy Shield” è stata messa sulla graticola: “in particolare, sulla base del rilievo che le ingerenze risultanti dai programmi di sorveglianza fondati sull’articolo 702 del FISA e sull’E.O. 12333 non sarebbero soggette a requisiti che garantiscano, nel rispetto del principio di proporzionalità, un livello di protezione sostanzialmente equivalente a quello garantito dall’articolo 52, paragrafo 1, seconda frase, della Carta (per cui “nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”). Tralasciando qui i dettagli della corposa ricostruzione (per cui il lettore è rinviato al testo integrale della pronuncia), in sintesi risulta alla Corte che né l’articolo 702 del FISA, né l’E.O. 12333, in combinato disposto con la PPD 28, “corrispondono ai requisiti minimi connessi, nel diritto dell’Unione, al principio di proporzionalità, cosicché non si può considerare che i programmi di sorveglianza basati su tali disposizioni siano limitati allo stretto necessario”.

Quanto al rapporto con l'art. 47 della Carta, sul diritto a un ricorso effettivo e a un giudice imparziale, posto che - secondo costante giurisprudenza - “l’esistenza stessa di un controllo giurisdizionale effettivo, destinato a garantire il rispetto delle disposizioni del diritto dell’Unione, è intrinseca all’esistenza di uno Stato di diritto”, non rispetta l'art. 47 quella normativa che non preveda alcuna possibilità per il singolo di avvalersi di rimedi giuridici al fine di accedere a dati personali che lo riguardano, oppure di ottenere la rettifica o la soppressione di tali dati.

La Corte ha ben presente come ai punti 115 e 116 della decisione “Privacy Shield”, la Commissione avesse constatato che per effetto dell’esistenza del meccanismo di mediazione istituito dalle autorità statunitensi – quale descritto nella lettera inviata il 7 luglio 2016 dal Segretario di Stato statunitense alla Commissaria europea per la Giustizia, i Consumatori e la parità di genere, contenuta all’allegato III di tale decisione – e della natura della missione affidata al Mediatore, ossia quella di “Primo coordinatore della diplomazia internazionale per le tecnologie dell’informazione”, gli Stati Uniti potevano assicurare un livello di protezione sostanzialmente equivalente a quello garantito all’articolo 47 della Carta. Senonché, dall'esame della lettera sopra detta, risulta chiaro che il Mediatore dello scudo per la privacy, pur se descritto come “indipendente dalla comunità dell’intelligence statunitense”, “riferisce direttamente al segretario di Stato, il quale assicura che svolga la sua funzione con obiettività e senza indebite ingerenze che possano influire sulla risposta apportata”.

Questo Mediatore è designato dal Segretario di Stato e costituisce parte integrante del Dipartimento di Stato degli Stati Uniti: non v'è alcuna indicazione che la sua revoca o l’annullamento della sua nomina siano accompagnate da garanzie particolari. Il tutto pare dimostrare come l’indipendenza del Mediatore rispetto al potere esecutivo sia ben lungi dall'essere assicurata e che il meccanismo di mediazione interno allo “Scudo per la privacy” non fornisce mezzi di ricorso dinanzi a un organo che sia tale da fornire alle persone garanzie equivalenti a quelle richieste dall’articolo 47 della Carta.

Per queste ragioni risulta che la Commissione abbia disatteso i requisiti di cui all’articolo 45, paragrafo 1, del Regolamento, letto alla luce degli articoli 7, 8 e 47 della Carta, conseguendone che l’articolo 1 della decisione “Scudo per la privacy” è incompatibile con il detto articolo 45, paragrafo 1, letto alla luce degli articoli 7, 8 e 47 della Carta, e che esso è per tale motivo invalido.

Inoltre “poiché l’articolo 1 della decisione «scudo per la privacy» è inscindibile dagli articoli da 2 a 6, nonché dagli allegati della medesima, la sua invalidità ha l’effetto di inficiare la validità di tale decisione nel suo complesso”.

Insomma, secondo la Corte il “Privacy Shield” sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo.

Un'ultima notazione non può non concernere il punto 202 della sentenza, laddove la Corte sembra preoccuparsi della lacuna giuridica che la pronuncia immediatamente inaugura ed apre, per poi sostanzialmente... negarla. Argomenta in soldoni la Corte che, tenuto conto dell’articolo 49 del Regolamento, l’annullamento del “Privacy Shield” non sarebbe idoneo a creare una siffatta lacuna giuridica, dal momento che l'art. 49 stabilisce, in modo preciso, a quali condizioni possono aver luogo trasferimenti di dati personali verso paesi terzi in assenza di una decisione di adeguatezza ex 45.3 o di garanzie adeguate ex art. 46 del Regolamento.

Ora, riservandoci di passare al setaccio i possibili rimedi a quella che è (e resta, con buona pace della Corte di Giustizia) una drammatica voragine, si pensa veramente di poterla colmare/superare con il salvagente delle deroghe? Del resto, qual è il limite fisiologico del ricorso alle deroghe? E come conciliarlo con le verosimili caratteristiche/tipologie della stragrande maggioranza dei trattamenti di dati personali coinvolti nei trasferimenti verso imprese già aderenti allo Scudo?

Ora si aprirà la caccia alla o alle soluzioni ad interim e il timore è che - fino a nuove decisioni di adeguatezza che, tuttavia, si preannunciano tutt'altro che prossime - milioni di imprese/operatori rischino piuttosto di rimanere impagliati in un penoso cul de sac.

Note sull'Autore

Paolo Marini Paolo Marini

Avvocato in Firenze, consulente di imprese e autore di libri, commenti, note a sentenze e altri contributi, impegnato nei settori del diritto e della procedura civile, della normativa in materia di protezione dei dati personali e sulla responsabilità amministrativa degli enti e delle persone giuridiche.

Prev Dpo su un campo minato: sono almeno 20 i possibili casi di violazioni
Next Piattaforme di videoconferenza, sei autorità per la privacy scrivono una lettera che sa di ultimatum

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy