Le sentenze Schrems sono dei provvedimenti adottati dalla Corte di giustizia dell'Unione europea, per riorganizzare gli accordi, tra UE e USA, riguardo il trattamento di dati personali. Nel 6 ottobre 2015, la sentenza Schrems I portò all'annullamento del trattato preesistente di Safe Harbor, che consentiva alle aziende americane di gestire dati personali dei loro utenti europei su server americani, successivamente, il 16 luglio 2020, la sentenza Schrems II portò all'annullamento dello scudo per la Privacy USA-UE e al riconoscimento della legalità delle clausole contrattuali tipo Standard Contractual Clauses.
Le sentenze si rifanno alla normativa europea che afferma che uno Stato membro dell'Unione Europea può verificare la richiesta di garanzia di protezione, fatta da una persona, riguardo alla tutela dei suoi dati personali, nel caso questi vengano trasferiti da uno Stato membro verso un paese terzo e non venga garantito un livello di protezione almeno equivalente.
Introduzione
L'attivista austriaco Maximilian Schrems (conosciuto come Max Schrems), nel 2013, ha presentato una denuncia nei confronti di Facebook Ireland Limited (l'Irlanda è il paese in cui è presente la sede europea di Facebook) dinanzi a un giudice. La denuncia mirava a vietare a Facebook di trasferire ulteriormente i dati dall'Irlanda agli Stati Uniti. Egli ha affermato che l'azienda non avrebbe rispettato i suoi diritti alla riservatezza e alla protezione dei dati personali garantiti dal diritto UE, nel caso di trasferimento di dati verso paesi extra-UE. Ha dichiarato anche invalido il regime di Safe Harbor, che nel 2000 fu introdotto dalla Commissione europea, in quanto trattato adeguato alla protezione dei dati personali trasferiti al di fuori dell'UE (così dando per scontato la garanzia del diritto alla privacy dei cittadini europei). Quest'ultima accusa è stata resa più credibile grazie alle rivelazioni di Edward Snowden, il quale denunciò una serie di programmi di sorveglianza di massa delle comunicazioni (che avevano come obbiettivo dati utenti di aziende come Facebook, Google ecc.), condotti dall'Agenzia di sicurezza nazionale americana.[1]
Altri utenti di Facebook hanno ceduto a Schrems i loro diritti a contestare le stesse violazioni, dopo il suo invito pubblicato su Internet.
Sentenza Schrems I
Il 6 ottobre 2015, la Corte ha detto che la Commissione europea non è stata in grado di garantire in pieno le adeguate garanzie per la protezione dei dati, e che le aziende statunitensi non possono più essere considerate attente alla privacy dei cittadini europei in modo automatico, in quanto viola il diritto basilare al rispetto della vita privata.[1]
Ha stabilito che, le autorità nazionali hanno ancora il potere di intervenire nel trasferimento dei dati nei paesi extra-UE (in caso di violazione del diritto di privacy), nonostante la decisione precedentemente presa dalla Commissione. Quindi considerando il regime di Safe Harbor non più valido. La Corte ha inoltre ribadito che il Safe Harbor non è valido per diversi motivi: il trattato interferisce nelle protezioni governative, non fornisce rimedi legali per le persone che cercano di accedere ai dati riguardanti loro stessi, che hanno cancellato o emendato. Ai sensi della normativa dell'UE, la condivisione dei dati con paesi che si ritenga abbiano livelli di protezione non adeguati, inclusi gli Stati Uniti, è proibita.[2][3]
Controversie sentenza Schrems I
Il caso ha sollevato anche alcune questioni giuridiche. In primo luogo, considerando un consumatore (nel diritto dell'UE) come soggetto più debole e bisognoso di protezione, a cui è stata introdotta una tutela giuridica piuttosto solida, (anche in competenza giurisdizionale), per i contratti conclusi da consumatori; se possa essere considerato bisognoso di tutela, nel caso in cui si trasformi gradualmente in un "professionista" delle controversie in materia di consumatori. La seconda questione giuridica, invece punta sulla competenza internazionale riguardo controversie attinenti contratti conclusi da consumatori in caso di cessione di diritti. Si domanda se (dando per scontato che il soggetto sia un "classico" consumatore) anche per i diritti ceduti da altri consumatori residenti (nello stesso Stato membro, in altri Stati membri UE e/o in paesi terzi) ci si possa basare sui criteri speciali di competenza giurisdizionale. In tal caso si darebbe di fatto la possibilità di raccogliere i diritti di consumatori in tutto il mondo.[4]
Sentenza Schrems II
Il 16 luglio 2020 la sentenza (disponibile qui[5]) della Corte di giustizia dell'Unione europea - Lussemburgo, 16 luglio 2020 - Sentenza nella causa C-311/18 - Commissario per la protezione dei dati contro Facebook Irlanda e Maximillian Schrems (cd. ‘Schrems II’) ha invalidato lo scudo per la privacy USA-UE (Privacy Shield) e ha riconosciuto la legalità delle ‘clausole contrattuali tipo’ (Standard Contractual Clauses[6], cd. SCC) nei trasferimenti internazionali di dati[7]. Nella sentenza la Corte di Giustizia ha ribadito la applicabilità del Regolamento (UE) 2016/679 (GDPR) e dei principi in esso contenuti anche ai dati personali che al tempo del trasferimento o successivamente potevano essere trattati dalle Autorità per finalità di pubblica sicurezza, difesa o sicurezza nazionale. Il 17 luglio 2020 il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato il suo Statement in cui accoglie con favore il giudizio della CGUE, che evidenzia il diritto fondamentale alla privacy nel contesto del trasferimento di dati personali a paesi terzi[8].
FAQ relative alla sentenza Schrems II e ai suoi effetti
Che cosa ha stabilito la Corte nella sua sentenza?
Nella sua sentenza, la Corte ha esaminato la validità della decisione n. 2010/87/CE della Commissione europea sulle clausole contrattuali tipo (Standard Contractual Clauses[6], cd. SCC) e ne ha ritenuto la validità. Infatti, la validità di tale decisione non è in dubbio per il semplice motivo che le clausole tipo di protezione dei dati di cui alla suddetta decisione non sono vincolanti per le autorità del paese terzo verso il quale i dati possono essere trasferiti, avendo esse natura contrattuale.
La Corte ha inoltre esaminato la validità della decisione relativa allo scudo per la privacy (Privacy Shield) (Decisione 2016/1250 sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy), poiché i trasferimenti in esame nell'ambito della controversia nazionale che ha portato alla domanda di pronuncia pregiudiziale si sono svolti tra l'UE e gli Stati Uniti ("USA"). La Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti, e in particolare determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall'UE agli Stati Uniti ai fini della sicurezza nazionale, comportino limitazioni alla protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell'UE1 e che tale legislazione non accordi ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi. Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto paese terzo, la Corte ha dichiarato invalida la decisione sull'adeguatezza dello scudo per la privacy.[9]
È previsto un periodo di grazia durante il quale continuare a trasferire i dati verso gli USA senza valutare la base giuridica per il trasferimento?
No, la Corte ha annullato la decisione relativa allo scudo per la privacy senza preservarne gli effetti, in quanto la normativa americana che è oggetto di valutazione da parte della Corte non fornisce un livello di protezione sostanzialmente equivalente a quello dell'UE. Tale valutazione deve essere tenuta presente con riguardo a ogni trasferimento verso gli Stati Uniti.[9]
Trasferisco dati a un importatore di dati statunitense aderente allo scudo per la privacy, cosa devo fare adesso?
I trasferimenti sulla base di tale quadro giuridico sono illegali. Qualora desideri continuare a trasferire i dati verso gli Stati Uniti, occorre verificare se ciò sia possibile alle condizioni di seguito indicate.[9]
Utilizzo le norme vincolanti d'impresa ("BCR") con un soggetto stabilito negli Stati Uniti, cosa devo fare?
La possibilità di trasferire o meno dati personali sulla base delle BCR dipenderà dall'esito della valutazione, tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto. Le misure supplementari unitamente alle BCR, alla luce di un'analisi caso per caso delle circostanze del trasferimento, dovrebbero garantire che la normativa statunitense non interferisca con l'adeguato livello di protezione garantito dalle BCR e dalle misure supplementari stesse. Se si è giunti alla conclusione che, tenuto conto delle circostanze del trasferimento e delle eventuali misure supplementari, non vi sarebbero adeguate garanzie, occorre sospendere o porre fine al trasferimento di dati personali.[9]
Cosa succede rispetto agli altri strumenti di trasferimento previsti dall'articolo 46 del GDPR?
Il Comitato europeo per la protezione dei dati valuterà le conseguenze della sentenza sugli strumenti di trasferimento diversi dalle SCC e dalle BCR. La sentenza chiarisce che il parametro per l’adeguatezza delle garanzie di cui all’Art. 46 RGPD è costituito dalla "equivalenza sostanziale".[9]
Posso continuare a utilizzare le SCC o le BCR per il trasferimento dei dati verso un paese terzo diverso dagli Stati Uniti?
La Corte ha indicato che è ancora possibile utilizzare le SCC per trasferire dati in un paese terzo; tuttavia, la soglia fissata dalla Corte per i trasferimenti verso gli Stati Uniti si applica a qualsiasi paese terzo. Lo stesso vale per le norme vincolanti d'impresa (BCR). La Corte ha sottolineato che spetta all'esportatore e all'importatore di dati valutare se il livello di protezione richiesto dal diritto dell'UE sia rispettato nel paese terzo in questione al fine di determinare se le garanzie fornite dalle SCC o dalle BCR possano essere rispettate nella pratica. In caso contrario, occorre valutare se sia possibile prevedere misure supplementari per garantire un livello di protezione sostanzialmente equivalente a quello previsto nel SEE, e se la legislazione del paese terzo non consenta ingerenze nei riguardi delle suddette misure supplementari tali da comprometterne di fatto l'efficacia.[9]
Note
- ^ a b La sentenza della Corte Ue sulla privacy spiegata in 10 punti, su La Stampa - News dall'Italia e dal Piemonte, 20 ottobre 2015. URL consultato il 3 luglio 2019 (archiviato dall'url originale il 13 dicembre 2019).
- ^ (EN) EU-US data pact skewered in court hearing, su EUobserver. URL consultato il 3 luglio 2019.
- ^ (EN) European court online data ruling welcomed, 6 ottobre 2015. URL consultato il 3 luglio 2019.
- ^ CURIA - Documenti, su curia.europa.eu. URL consultato il 3 luglio 2019.
- ^ SENTENZA DELLA CORTE (Grande Sezione), su curia.europa.eu, 16 luglio 2020. URL consultato il 30 gennaio 2021.
- ^ a b (EN) on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, su ec.europa.eu, 05-02-2010. URL consultato il 30 gennaio 2021.
- ^ Caso Schrems II: Corte di Giustizia dell’Unione europea invalida la Decisione della Commissione sull’adeguatezza della protezione fornita dallo ‘scudo UE-USA per la privacy’ (Privacy Shield) | Data Protection Law - Privacy e protezione dati personali, su dataprotectionlaw.it.
- ^ (EN) Barry O'CONNELL, Statement on the Court of Justice of the European Union Judgment in Case C-311/18 - Data Protection Commissioner v Facebook Ireland and Maximillian Schrems, su European Data Protection Board - European Data Protection Board, 17 luglio 2020. URL consultato il 27 luglio 2020.
- ^ a b c d e f (EN) Comitato Europeo per la Protezione dei Dati (EDPB), Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 - Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (PDF), su edpb.europa.eu, 23-7-2020. URL consultato il 30-1-2021.