TUTELA DEI DATI PERSONALI
Conclusioni Avvocato Generale UE: deve ritenersi valida la decisione 2010/87/UE della Commissione sulle clausole contrattuali tipo per il trasferimento di dati personali.
Il regolamento generale sulla protezione dei dati (RGPD), al pari della direttiva sul trattamento dei dati personali che esso sostituisce prevede che i dati personali possono essere trasferiti verso un Paese terzo se quest’ultimo garantisce un adeguato livello di protezione di tali dati.
In mancanza di una decisione della Commissione constatante l’adeguatezza del livello di protezione garantito nel Paese terzo di cui trattasi, il responsabile del trattamento può comunque procedere al trasferimento qualora lo contorni di garanzie appropriate.
Tali garanzie possono segnatamente avere la forma di un contratto, tra l’esportatore e l’importatore dei dati, contenente clausole tipo di protezione previste in una decisione della Commissione. Con la decisione 2010/87/UE, la Commissione ha stabilito clausole contrattuali tipo per il trasferimento di dati personali a incaricati stabiliti in paesi terzi.
La controversia nel procedimento principale è stata preceduta da un procedimento avviato dal sig. Maximillian Schrems, utente austriaco di Facebook, e ha già dato luogo ad una sentenza della Corte pronunciata il 6 ottobre 2015 (qui di seguito, «la sentenza Schrems»).
I dati degli utenti di Facebook residenti nell’Unione, come il sig. Schrems, sono trasferiti, in tutto o in parte, da Facebook Ireland, controllata irlandese di Facebook Inc., su server situati nel territorio degli Stati Uniti, ove tali dati sono oggetto di trattamento. Nel 2013, il sig. Schrems aveva presentato una denuncia all’autorità irlandese incaricata di sorvegliare l’applicazione delle disposizioni relative alla protezione dei dati personali (in prosieguo: l’«autorità di controllo»), considerando che, alla luce delle rivelazioni fatte dal sig. Edward Snowden riguardo alle attività dei servizi di intelligence degli Stati Uniti (in particolare della National Security Agency o «NSA»), il diritto e le prassi degli Stati Uniti non offrissero una protezione sufficiente contro la sorveglianza, da parte delle pubbliche autorità, dei dati trasferiti verso tale Paese.
L’autorità di controllo aveva respinto detta denuncia sulla base del rilievo che, nella sua decisione del 26 luglio 2000 la Commissione aveva considerato che, nell’ambito del regime del cosiddetto «approdo sicuro», gli Stati uniti garantissero un livello adeguato di protezione dei dati personali trasferiti.
Con la sentenza Schrems la Corte di giustizia, rispondendo ad una questione sottopostale dalla High Court (Alta Corte, Irlanda), ha dichiarato invalida la decisione «approdo sicuro». A seguito della sentenza Schrems il giudice del rinvio ha annullato la decisione con cui l’autorità di controllo aveva respinto la denuncia del sig. Schrems e l’ha rinviata dinanzi alla suddetta autorità per esame.
Quest’ultima ha aperto un’inchiesta e ha invitato il sig. Schrems a riformulare la sua denuncia, tenuto conto della dichiarazione di invalidità della decisione «approdo sicuro». A tal fine sig. Schrems ha chiesto a Facebook Ireland di individuare i fondamenti giuridici su cui riposano i trasferimenti di dati personali degli utenti di Facebook dall’Unione verso gli Stati Uniti. Facebook Ireland ha fatto riferimento ad un accordo di trasferimento e di trattamento dei dati (data transfer processing agreement) concluso tra essa stessa e Facebook Inc., applicabile dal 20 novembre 2015, e si è richiamata alla decisione 2010/87.
Nella sua denuncia riformulata il sig. Schrems fa valere, da un lato, che le clausole contenute in tale accordo non sono conformi alle clausole contrattuali tipo previste dalla decisione 2010/87 e, d’altro lato, che tali clausole contrattuali tipo non potrebbero, in ogni caso, fungere da fondamento al trasferimento verso gli Stati Uniti dei dati personali che lo riguardano.
Il sig. Schrems sostiene, infatti, che nessun mezzo di ricorso consente alle persone interessate di far valere negli Stati Uniti i loro diritti al rispetto della vita privata e alla protezione dei dati personali. In tali circostanze il sig. Schrems chiede all’autorità di controllo di sospendere tale trasferimento in applicazione della decisione 2010/87.
Con la sua inchiesta l’autorità di controllo mirava a determinare se gli Stati Uniti garantiscano una protezione adeguata dei dati personali dei cittadini dell’Unione e, in caso contrario, se il ricorso a clausole contrattuali tipo offra garanzie sufficienti per quanto riguarda la protezione delle libertà e dei diritti fondamentali di questi ultimi. Considerando che la trattazione della denuncia del sig. Schrems dipendesse dalla questione se la decisione 2010/87 sia valida, l’autorità di controllo ha avviato un procedimento dinanzi la High Court affinché quest’ultima si rivolgesse alla Corte a tal riguardo. La High Court ha proceduto al rinvio pregiudiziale chiesto da tale autorità.
Nelle sue conclusioni odierne, l’avvocato generale Henrik Saugmandsgaard Øe propone alla Corte di giustizia di rispondere che l’analisi delle questioni non ha evidenziato elementi atti ad inficiare la validità della decisione 2010/87. L’avvocato generale osserva preliminarmente che la controversia nel procedimento principale ha il solo scopo di determinare se la decisione 2010/87, con la quale la Commissione ha stabilito le clausole contrattuali tipo invocate a sostegno dei trasferimenti oggetto della denuncia del sig. Schrems, sia valida. L’avvocato generale considera, in primo luogo, che il diritto dell’Unione si applica ai trasferimenti di dati personali verso un Paese terzo quando tali trasferimenti rispondono a finalità commerciali, anche se i dati trasferiti possono subire, da parte delle pubbliche autorità di tale Paese terzo, dei trattamenti a fini di sicurezza nazionale. In secondo luogo, l’avvocato generale constata che le disposizioni del RGDP relative ai trasferimenti verso paesi terzi hanno lo scopo di garantire la continuità di un livello elevato di protezione dei dati personali, indipendentemente dal fatto che i dati siano trasferiti sulla base di una decisione di adeguatezza o in forza di garanzie appropriate fornite dall’esportatore. A suo parere il modo di conseguire tale obiettivo varia tuttavia secondo la base giuridica del trasferimento.
Da un lato, una decisione di adeguatezza ha per oggetto constatare che un determinato Paese terzo garantisce, grazie al diritto e alle prassi che in esso si applicano, un livello di protezione dei diritti fondamentali delle persone i cui dati sono trasferiti che è sostanzialmente 6 Il regime dell'approdo sicuro comprende una serie di principi relativi alla protezione dei dati personali ai quali le imprese americane possono aderire volontariamente. equivalente a quello risultante dal RGPD, letto alla luce della Carta dei diritti fondamentali dell’Unione europea (di seguito, la «Carta»).
D’altro lato, le appropriate garanzie fornite dall’esportatore, in particolare contrattualmente, devono esse stesse assicurare un livello di protezione siffatto. A tal proposito, le clausole contrattuali tipo adottate dalla Commissione prevedono un meccanismo generale applicabile ai trasferimenti, qualunque sia il Paese terzo di destinazione e il livello di protezione che in esso è garantito.
L’avvocato generale procede, in terzo luogo, ad un esame della validità della decisione 2010/87 alla luce della Carta. Egli considera che la circostanza che tale decisione e le clausole contrattuali tipo in essa previste non vincolino le autorità del Paese terzo di destinazione e non impediscano quindi a quest’ultime di imporre all’importatore obblighi incompatibili con il rispetto di tali clausole non rende di per sé invalida la suddetta decisione. La conformità della decisione 2010/87 con la Carta dipende dalla questione se esistano meccanismi sufficientemente solidi che consentano di garantire che i trasferimenti fondati sulle clausole contrattuali tipo siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di onorarle. A suo parere ciò avviene nei limiti in cui esista un obbligo – gravante sui responsabili del trattamento e, in caso di inerzia di questi ultimi, sulle autorità di controllo – di sospendere o vietare un trasferimento allorché, a causa di un conflitto tra gli obblighi derivanti dalle clausole tipo e quelli imposti dal diritto del Paese terzo di destinazione, tali clausole non possono essere rispettate.
L’avvocato generale constata inoltre che il giudice del rinvio rimette indirettamente in discussione talune valutazioni effettuate dalla Commissione nella decisione del 12 luglio 2016, cosiddetta decisione «regime dello scudo per la privacy». In tale decisione la Commissione ha constatato che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati trasferiti dall’Unione nell’ambito del regime istituito da tale decisione, alla luce, in particolare, delle garanzie che contornano l’accesso a tali dati da parte delle autorità di intelligence americane, nonché della tutela giuridica offerta alle persone i cui dati sono trasferiti.
Secondo l’avvocato generale per dirimere la controversia nel procedimento principale non è necessario che la Corte si pronunci sulla validità della decisione «regime dello scudo per la privacy» poiché tale controversia verte unicamente sulla validità della decisione 2010/87.
L’avvocato generale espone tuttavia, in subordine, le ragioni che lo inducono ad interrogarsi sulla validità della decisione «regime dello scudo per la privacy» alla luce dei diritti al rispetto della vita privata e alla protezione dei dati personali nonché del diritto al ricorso effettivo.
(Fonte: Sito web Curia – Comunicato Stampa 165/2019 – Autore e Titolarità dei contenuti: Corte di Giustizia dell’Unione Europea).
In mancanza di una decisione della Commissione constatante l’adeguatezza del livello di protezione garantito nel Paese terzo di cui trattasi, il responsabile del trattamento può comunque procedere al trasferimento qualora lo contorni di garanzie appropriate.
Tali garanzie possono segnatamente avere la forma di un contratto, tra l’esportatore e l’importatore dei dati, contenente clausole tipo di protezione previste in una decisione della Commissione. Con la decisione 2010/87/UE, la Commissione ha stabilito clausole contrattuali tipo per il trasferimento di dati personali a incaricati stabiliti in paesi terzi.
La controversia nel procedimento principale è stata preceduta da un procedimento avviato dal sig. Maximillian Schrems, utente austriaco di Facebook, e ha già dato luogo ad una sentenza della Corte pronunciata il 6 ottobre 2015 (qui di seguito, «la sentenza Schrems»).
I dati degli utenti di Facebook residenti nell’Unione, come il sig. Schrems, sono trasferiti, in tutto o in parte, da Facebook Ireland, controllata irlandese di Facebook Inc., su server situati nel territorio degli Stati Uniti, ove tali dati sono oggetto di trattamento. Nel 2013, il sig. Schrems aveva presentato una denuncia all’autorità irlandese incaricata di sorvegliare l’applicazione delle disposizioni relative alla protezione dei dati personali (in prosieguo: l’«autorità di controllo»), considerando che, alla luce delle rivelazioni fatte dal sig. Edward Snowden riguardo alle attività dei servizi di intelligence degli Stati Uniti (in particolare della National Security Agency o «NSA»), il diritto e le prassi degli Stati Uniti non offrissero una protezione sufficiente contro la sorveglianza, da parte delle pubbliche autorità, dei dati trasferiti verso tale Paese.
L’autorità di controllo aveva respinto detta denuncia sulla base del rilievo che, nella sua decisione del 26 luglio 2000 la Commissione aveva considerato che, nell’ambito del regime del cosiddetto «approdo sicuro», gli Stati uniti garantissero un livello adeguato di protezione dei dati personali trasferiti.
Con la sentenza Schrems la Corte di giustizia, rispondendo ad una questione sottopostale dalla High Court (Alta Corte, Irlanda), ha dichiarato invalida la decisione «approdo sicuro». A seguito della sentenza Schrems il giudice del rinvio ha annullato la decisione con cui l’autorità di controllo aveva respinto la denuncia del sig. Schrems e l’ha rinviata dinanzi alla suddetta autorità per esame.
Quest’ultima ha aperto un’inchiesta e ha invitato il sig. Schrems a riformulare la sua denuncia, tenuto conto della dichiarazione di invalidità della decisione «approdo sicuro». A tal fine sig. Schrems ha chiesto a Facebook Ireland di individuare i fondamenti giuridici su cui riposano i trasferimenti di dati personali degli utenti di Facebook dall’Unione verso gli Stati Uniti. Facebook Ireland ha fatto riferimento ad un accordo di trasferimento e di trattamento dei dati (data transfer processing agreement) concluso tra essa stessa e Facebook Inc., applicabile dal 20 novembre 2015, e si è richiamata alla decisione 2010/87.
Nella sua denuncia riformulata il sig. Schrems fa valere, da un lato, che le clausole contenute in tale accordo non sono conformi alle clausole contrattuali tipo previste dalla decisione 2010/87 e, d’altro lato, che tali clausole contrattuali tipo non potrebbero, in ogni caso, fungere da fondamento al trasferimento verso gli Stati Uniti dei dati personali che lo riguardano.
Il sig. Schrems sostiene, infatti, che nessun mezzo di ricorso consente alle persone interessate di far valere negli Stati Uniti i loro diritti al rispetto della vita privata e alla protezione dei dati personali. In tali circostanze il sig. Schrems chiede all’autorità di controllo di sospendere tale trasferimento in applicazione della decisione 2010/87.
Con la sua inchiesta l’autorità di controllo mirava a determinare se gli Stati Uniti garantiscano una protezione adeguata dei dati personali dei cittadini dell’Unione e, in caso contrario, se il ricorso a clausole contrattuali tipo offra garanzie sufficienti per quanto riguarda la protezione delle libertà e dei diritti fondamentali di questi ultimi. Considerando che la trattazione della denuncia del sig. Schrems dipendesse dalla questione se la decisione 2010/87 sia valida, l’autorità di controllo ha avviato un procedimento dinanzi la High Court affinché quest’ultima si rivolgesse alla Corte a tal riguardo. La High Court ha proceduto al rinvio pregiudiziale chiesto da tale autorità.
Nelle sue conclusioni odierne, l’avvocato generale Henrik Saugmandsgaard Øe propone alla Corte di giustizia di rispondere che l’analisi delle questioni non ha evidenziato elementi atti ad inficiare la validità della decisione 2010/87. L’avvocato generale osserva preliminarmente che la controversia nel procedimento principale ha il solo scopo di determinare se la decisione 2010/87, con la quale la Commissione ha stabilito le clausole contrattuali tipo invocate a sostegno dei trasferimenti oggetto della denuncia del sig. Schrems, sia valida. L’avvocato generale considera, in primo luogo, che il diritto dell’Unione si applica ai trasferimenti di dati personali verso un Paese terzo quando tali trasferimenti rispondono a finalità commerciali, anche se i dati trasferiti possono subire, da parte delle pubbliche autorità di tale Paese terzo, dei trattamenti a fini di sicurezza nazionale. In secondo luogo, l’avvocato generale constata che le disposizioni del RGDP relative ai trasferimenti verso paesi terzi hanno lo scopo di garantire la continuità di un livello elevato di protezione dei dati personali, indipendentemente dal fatto che i dati siano trasferiti sulla base di una decisione di adeguatezza o in forza di garanzie appropriate fornite dall’esportatore. A suo parere il modo di conseguire tale obiettivo varia tuttavia secondo la base giuridica del trasferimento.
Da un lato, una decisione di adeguatezza ha per oggetto constatare che un determinato Paese terzo garantisce, grazie al diritto e alle prassi che in esso si applicano, un livello di protezione dei diritti fondamentali delle persone i cui dati sono trasferiti che è sostanzialmente 6 Il regime dell'approdo sicuro comprende una serie di principi relativi alla protezione dei dati personali ai quali le imprese americane possono aderire volontariamente. equivalente a quello risultante dal RGPD, letto alla luce della Carta dei diritti fondamentali dell’Unione europea (di seguito, la «Carta»).
D’altro lato, le appropriate garanzie fornite dall’esportatore, in particolare contrattualmente, devono esse stesse assicurare un livello di protezione siffatto. A tal proposito, le clausole contrattuali tipo adottate dalla Commissione prevedono un meccanismo generale applicabile ai trasferimenti, qualunque sia il Paese terzo di destinazione e il livello di protezione che in esso è garantito.
L’avvocato generale procede, in terzo luogo, ad un esame della validità della decisione 2010/87 alla luce della Carta. Egli considera che la circostanza che tale decisione e le clausole contrattuali tipo in essa previste non vincolino le autorità del Paese terzo di destinazione e non impediscano quindi a quest’ultime di imporre all’importatore obblighi incompatibili con il rispetto di tali clausole non rende di per sé invalida la suddetta decisione. La conformità della decisione 2010/87 con la Carta dipende dalla questione se esistano meccanismi sufficientemente solidi che consentano di garantire che i trasferimenti fondati sulle clausole contrattuali tipo siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di onorarle. A suo parere ciò avviene nei limiti in cui esista un obbligo – gravante sui responsabili del trattamento e, in caso di inerzia di questi ultimi, sulle autorità di controllo – di sospendere o vietare un trasferimento allorché, a causa di un conflitto tra gli obblighi derivanti dalle clausole tipo e quelli imposti dal diritto del Paese terzo di destinazione, tali clausole non possono essere rispettate.
L’avvocato generale constata inoltre che il giudice del rinvio rimette indirettamente in discussione talune valutazioni effettuate dalla Commissione nella decisione del 12 luglio 2016, cosiddetta decisione «regime dello scudo per la privacy». In tale decisione la Commissione ha constatato che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati trasferiti dall’Unione nell’ambito del regime istituito da tale decisione, alla luce, in particolare, delle garanzie che contornano l’accesso a tali dati da parte delle autorità di intelligence americane, nonché della tutela giuridica offerta alle persone i cui dati sono trasferiti.
Secondo l’avvocato generale per dirimere la controversia nel procedimento principale non è necessario che la Corte si pronunci sulla validità della decisione «regime dello scudo per la privacy» poiché tale controversia verte unicamente sulla validità della decisione 2010/87.
L’avvocato generale espone tuttavia, in subordine, le ragioni che lo inducono ad interrogarsi sulla validità della decisione «regime dello scudo per la privacy» alla luce dei diritti al rispetto della vita privata e alla protezione dei dati personali nonché del diritto al ricorso effettivo.
(Fonte: Sito web Curia – Comunicato Stampa 165/2019 – Autore e Titolarità dei contenuti: Corte di Giustizia dell’Unione Europea).
