Con la sentenza del 16 luglio 2020, la Corte di Giustizia dell’Unione Europea ha dichiarato l’invalidità della decisione di esecuzione della Commissione (UE) 2016/1250, istitutiva del c.d. “Privacy Shield”, ovverosia di quel meccanismo, basato su un accordo ufficiale tra Unione e Stati Uniti d’America, che sino ad oggi ha disciplinato il trasferimento oltreoceano dei dati personali dei cittadini europei, ritenendolo inidoneo a garantire un adeguato livello di protezione dei dati personali.

IL FATTO:

Il caso è stato (ri)portato all’attenzione della CGUE dall’Alta Corte irlandese dal cittadino austriaco Maximilian Schrems, il quale prosegue dal 2013 la sua personalissima crociata contro il social network americano Facebook, iniziata nel 2013 con un reclamo al Data Protection Commissioner (l’autorità di controllo irlandese) e che, grazie ad un primo rinvio pregiudiziale dell’Alta Corte, ha già portato nel corso del 2015 all’invalidazione decisione della Commissione 2000/520/CE, c.d. “Safe Harbour”, che per 15 anni aveva regolamentato il trasferimento dei dati al di là dell’oceano atlantico (ne abbiamo parlato qui).

A seguito della sentenza c.d. Schrems I, il Data Protection Commissioner aveva stabilito l’inidoneità delle clausole tipo di protezione dei dati approvate dalla Commissione con decisione 2010/87/UE a porre rimedio alle lacune per la protezione dei dati personali dei cittadini europei derivanti dall’ampio diritto di accesso ai dati oggetto di trasferimento previsto dal diritto americano a favore delle proprie autorità ed ai propri servizi di intelligence: le clausole tipo conferiscono infatti agli interessati unicamente diritti di natura contrattuale, in quanto tali incapaci in vincolare le autorità statunitensi. Ritenendo che tali circostanze mettessero in discussione la stessa validità delle clausole tipo, il Commissioner si era nuovamente rivolto all’Alta Corte, la quale, a seguito della propria disamina, riconosceva l’impossibilità per gli Stati Uniti di garantire un livello di protezione dei dati sostanzialmente equivalente a quello europeo e sottoponeva alla CGUE una serie di questioni pregiudiziali, aventi in particolare ad oggetto (i) l’applicabilità del diritto dell’Unione alla fattispecie in esame, (ii) la validità della decisione 2010/87/UE (e delle clausole tipo ad essa allegate) e (iii) il ruolo – e, implicitamente – la validità del nel frattempo intervenuto Privacy Shield.

La Corte, risolte sbrigativamente le questioni in merito alla ricevibilità della domanda, ha dapprima confermato l’applicabilità del Regolamento UE 2016/679 al trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un altro operatore economico stabilito in un paese terzo, “nonostante il fatto che, durante o in seguito a tale trasferimento, i suddetti dati possano essere sottoposti a trattamento da parte delle autorità del paese terzo considerato a fini di sicurezza pubblica, di difesa e sicurezza dello Stato”.

Viene poi esaminato lo strumento di tutela per il trasferimento dei dati personali costituito dalle clausole contrattuali tipo approvate dalla Commissione. A tal proposito, pur riconoscendo la piena validità di tale meccanismo, la CGUE è chiara nell’identificare i limiti dello stesso: non essendo le clausole assolutamente idonee, per loto natura, a vincolare in qualsivoglia modo le autorità di un paese terzo, le parti coinvolte nel trasferimento dovranno attentamente verificare, caso per caso ed in via preliminare, se lo strumento sia concretamente applicabile, ovverosia se la legislazione del paese terzo di destinazione consenta all’importatore di conformarsi pienamente a queste. Ove infatti l’esportatore non sia in grado di garantire il rispetto delle stesse – o, eventualmente, l’implementazione di garanzie ulteriori idonee a supplire alle lacune individuate – e di conseguenza il livello di protezione dei dati che la Commissione ha ritenuto congruo, esso è tenuto a sospendere o mettere fine al trasferimento. Ove non vi proceda l’esportatore, alla sospensione e/o blocco del trasferimento potrà procedere direttamente la competente autorità di controllo nazionale.

Da ultima la CGUE affronta il delicato tema della validità della decisione di esecuzione della Commissione (UE) 2016/1250 e, dunque, del Privacy Shield. La Corte riconosce in primo luogo che la decisione in esame sancisce il primato delle esigenze di sicurezza nazionale, interesse pubblico e amministrazione della giustizia in capo alle autorità nazionali statunitensi rispetto ai principi in materia di data protection stabiliti dallo scudo. Sebbene la stessa normativa europea stabilisca la possibilità di imporre limitazioni ai diritti di riservatezza e protezione dei dati personali, essa vincola l’imposizione di tali limitazioni al principio di proporzionalità. Ebbene, la violazione del suddetto principio causata dall’assenza di limitazioni all’autorizzazione per l’attuazione di programmi di sorveglianza contenuta nella legge statunitense (in particolare dall’art. 702 del FISA e dall’E.O. 12333, in combinato disposto con la PPD-28) e di garanzie per i cittadini stranieri oggetto di tali programmi nonché di qualsivoglia rimedio azionabile avanti ai giudici rende il quadro giuridico statunitense inidoneo ad assicurare un livello di protezione sostanzialmente equivalente a quello garantito dalla normativa europea e dalla Carta dei diritti fondamentali dell’uomo. Alla luce di quanto sopra, la Corte ha dunque dichiarato l’invalidità del Privacy Shield.

PERCHÉ È IMPORTANTE:

Per la seconda volta in soli cinque anni trovano accoglimento avanti al più alto organo giurisdizionale dell’Unione Europea le tesi di Schrems. Come risulta sempre più evidente, oggetto delle doglianze è solo indirettamente il colosso dei social: il fine ultimo delle azioni promosse nel corso degli anni è infatti il formale riconoscimento da parte delle istituzioni europee della totale inadeguatezza del quadro giuridico degli Stati Uniti nel garantire la protezione dei dati personali dei cittadini europei ed il conseguente ottenimento del blocco dei trasferimenti di dati personali verso gli USA.

Con la scomparsa del Privacy Shield migliaia di aziende aderenti al meccanismo di protezione (tra cui figurano, peraltro, Apple e Google) si trovano nuovamente a fronteggiare un vuoto normativo. Situazione che si aggrava ulteriormente se si legge con attenzione il dictum della corte in merito alle clausole contrattuali standard, ovverosia la soluzione nell’immediato più semplice e meno “burocratica” per proseguire in maniera lecita il trasferimento extra UE di dati, in assenza di una decisione di adeguatezza. Questo perché se è vero che la Corte ha fatto espressamente salve tali clausole, la sentenza ha anche certificato che esse devono garantire una tutela effettiva, e non meramente formale, dei diritti degli interessati. E se guardiamo ai rilievi della CGUE in materia di Privacy Shield, sorgono dubbi più che fondati sulla concreta capacità delle società americane di garantire il rispetto delle clausole standard o, comunque, di implementare garanzie ulteriori in grado di porre rimedio alle lacune evidenziate dalla Corte.

A valle di quella che sembra una nuova schiacciante vittoria per Schrems (e per i sostenitori dell’inviolabilità della privacy dei cittadini europei), un totale blocco del trasferimento di dati personali verso gli Stati Uniti rimane ad oggi difficilmente concepibile, con il concreto rischio che, in attesa della formalizzazione di un nuovo accordo tra UE e USA, il passaggio dei dati oltreoceano continui a svolgersi in un pericoloso limbo giuridico.