Maximillian Schrems, cittadino austriaco, decide di denunciare Facebook Ireland Ltd per illecito trattamento dei suoi dati personali.
Secondo il sig. Schrems, infatti, il trasferimento di dati personali effettuato da Facebook Irlanda verso la casa madre Facebook Inc., negli Stati Uniti, viene effettuato in maniera incompatibile con i principi definiti dalle normative europee.
Come gli Stati Uniti trattano i nostri dati
I dati personali degli utenti di Facebook residenti nel territorio dell’Unione Europea vengono trasferiti, in tutto o in parte, sui server di Facebook Inc. ubicati nel territorio degli Stati Uniti, ove sono oggetto di ulteriore trattamento. In particolare, il diritto statunitense impone a Facebook Inc. di mettere a disposizione delle autorità quali la National Security Agency (NSA) e il Federal Bureau of Investigation (FBI) i dati personali che le sono trasferiti.
Al fine di procurarsi “informazioni in materia di intelligence esterna”, la legge degli Stati Uniti (come ad esempio il “Foreign Intelligence Surveillance Act”, FISA) consente infatti al procuratore generale e al direttore dell’intelligence statunitense di autorizzare, previa approvazione della Corte FISA, la sorveglianza di cittadini stranieri che si trovano al di fuori del territorio degli Stati Uniti e serve, in particolare, quale fondamento giuridico dei programmi di sorveglianza PRISM e UPSTREAM.
Secondo il programma di sorveglianza PRISM, i fornitori di servizi internet sono tenuti a fornire alla NSA tutte le comunicazioni inviate e ricevute tramite i loro server/router, che possono essere poi condivise anche con CIA e FBI.
Secondo il programma di sorveglianza UPSTREAM, invece, le imprese di telecomunicazioni che gestiscono la “dorsale” di internet (ovvero la rete di cavi, commutatori e router)– sono costrette a consentire alla NSA di copiare e filtrare i flussi di traffico internet al fine di raccogliere metadati e contenuto delle comunicazioni interessate.
Gli Stati Uniti procedono così a massicci trattamenti di dati, senza garantire -apparentemente- una protezione equivalente a quella prevista dagli articoli 7 (rispetto della vita privata e familiare), 8 (protezione dei dati personali) e 47 (diritto a un ricorso effettivo e a un giudice imparziale) della Carta dei Diritti Fondamentali dell’Unione Europea.
Inoltre, tale massiccio trattamento di dati personali di cittadini europei, pur se effettuato da parte delle autorità statunitensi per fini di pubblica sicurezza, di difesa e di sicurezza dello Stato, deve comunque sottostare alle prescrizioni del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati – RGPD).
Il trasferimento sulla base di una decisione di adeguatezza e la cancellazione dello “shield”
A norma dell’art. 45 del RGPD, il trasferimento di dati personali verso un paese terzo (quali gli Stati Uniti) è ammesso, senza necessità di autorizzazioni specifiche, se la Commissione Europea ha deciso che il paese terzo garantisce un livello di protezione dei dati personali adeguato secondo gli standard europei.
Fino a questa sentenza, il documento che attestava l’equivalenza di attenzione e cura nella protezione dei dati personali sulle due sponde dell’Atlantico –e quindi garantiva il loro libero trasferimento- era il cosiddetto “Privacy Shield”.
Il “Privacy Shield”, ovvero lo “scudo per la privacy” fra UE e USA, era un meccanismo di autocertificazione per le società stabilite negli USA che intendevano ricevere dati personali dall’Unione europea.
Le società si impegnavano a rispettare i principi in esso contenuti e a fornire agli interessati adeguati strumenti di tutela e, così facendo, erano in grado di trasferire e/o ricevere liberamente dati personali dall’Europa.
La Corte di Giustizia, avendo invece accolto le doglianze del Sig. Schrems, ne ha dichiarato l’invalidità.
La ragione è che le sistematiche ingerenze delle autorità statunitensi risultanti dai programmi di sorveglianza PRISM e UPSTREAM non permettono di ritenere che gli Stati Uniti assicurino un adeguato livello di protezione dei dati personali dei cittadini europei.
I dati personali, secondo la normativa europea, devono essere sempre trattati “per finalità determinate e in base al consenso della persona interessata” o comunque in base a altro fondamento legittimo previsto dalla legge, cosa che non avveniva nel caso specifico.
Agli interessati devono inoltre essere garantiti diritti di ricorso effettivo, anch’essi non assicurati nel caso specifico dato che le attività della NSA non sono soggette a controllo giurisdizionale e non possono essere oggetto di ricorsi giurisdizionali da parte di cittadini europei.
L’accesso, la comunicazione, la conservazione di dati personali da parte di un terzo (quale un’autorità pubblica) senza un adeguato fondamento giuridico costituisce quindi una censurabile ingerenza nei diritti fondamentali sanciti dal RGPD e agli articoli 7 e 8 della Carta dei Diritti Fondamentali dell’Unione Europea e non può che rendere invalido il “Privacy Shield”.
Le clausole contrattuali standard
Nel momento in cui viene meno una decisione di adeguatezza ai sensi dell’articolo 45 del RGPD, il titolare del trattamento o il responsabile del trattamento possono trasferire dati personali verso un paese terzo solo se hanno fornito altre garanzie adeguate (quali l’adesione alle clausole tipo di protezione dei dati personali adottate dalla Commissione) e, comunque, sempre a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
Anche in questo caso, però, la Corte, non può che chiosare dandoci due avvertimenti molto chiari:
– benché tali clausole tipo siano vincolanti per il titolare del trattamento stabilito nell’Unione e per il destinatario del trasferimento di dati personali stabilito in un paese terzo, è pacifico che esse non possono vincolare le autorità di tale paese terzo, poiché queste ultime non sono parti del contratto.
– i cittadini dell’Unione non hanno accesso agli stessi mezzi di ricorso di cui dispongono i cittadini statunitensi contro i trattamenti di dati personali da parte delle autorità statunitensi, poiché il quarto emendamento della Costituzione degli Stati Uniti (che nel diritto statunitense costituisce la tutela più importante contro la sorveglianza illegale) è inapplicabile ai cittadini dell’Unione.
La sentenza C-311/18 della Corte di Giustizia UE (Grande Sezione) del 16 Luglio 2020, in .pdf (scaricabile):
Corte di Giustizia UE (Grande Sezione) - Sentenza C-311_18 - 16 Luglio 2020