Privacy: Facebook, attento a dove porti i miei dati

facebookLa direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa al trattamento e alla libera circolazione dei dati personali, dispone che il trasferimento di tali dati verso un paese terzo può avere luogo, in linea di principio, solo laddove sia garantito un adeguato livello di protezione.

Il sig. Maximilian Schrems è cittadino austriaco e utilizzatore di Facebook dal 2008. Come accade per gli altri iscritti che risiedono nell’Unione europea, i dati forniti dal sig. Schrems a Facebook sono trasferiti, in tutto o in parte, dalla filiale irlandese di Facebook, su server situati nel territorio degli Stati Uniti, dove sono oggetto di trattamento.

Il sig. Schrems ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 dal sig. Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti (in particolare della National Security Agency, o «NSA»), il diritto e le prassi statunitensi non garantiscono una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese.

L’autorità irlandese ha respinto la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 2000, la Commissione europea ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro o safe harbor», gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti.

La High Court of Ireland (Alta Corte di giustizia irlandese), investita della causa, ha però inviato il tutto a Lussemburgo, domandando se tale decisione della Commissione possa produrre l’effetto di impedire all’autorità nazionale di controllo di indagare sul livello di protezione dei dati di un paese terzo e, se necessario, di sospenderne il trasferimento.

Con la sentenza emessa nella causa C- 362/14, la Corte europea ritiene che l’esistenza di una decisione della Commissione europea che dichiari i livelli di protezione dei dati trasferiti di un paese terzo adeguati, non può sopprimere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della Carta dei diritti fondamentali dell’Unione europea e della direttiva.

La Corte sottolinea, a questo proposito, il diritto alla protezione dei dati personali garantito dalla Carta e la missione di cui sono investite le autorità nazionali di controllo in forza della Carta medesima.

Anche quando esiste una decisione della Commissione, quindi, le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti i requisiti stabiliti dalla direttiva.

Tuttavia, la Corte ricorda che solo essa è competente a dichiarare invalida una decisione della Commissione, così come qualsiasi atto dell’Unione. Pertanto, qualora un’autorità nazionale o una persona ritenga che una decisione della Commissione sia invalida, tale autorità o persona deve poter si rivolgere ai giudici nazionali affinché, nel caso in cui anche questi nutrano dubbi sulla validità della decisione della Commissione, essi possano rinviare la causa dinanzi alla Corte di giustizia.

A questo proposito, la Corte ricorda che la Commissione aveva il compito di constatare se gli Stati Uniti garantiscono effettivamente, in considerazione della loro legislazione nazionale o dei loro impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’Unione a norma della direttiva, interpretata alla luce della Carta.

La Commissione non ha proceduto a una constatazione del genere, ma si è limitata a esaminare il regime del cosiddetto approdo sicuro.

Orbene, senza verificare se il sistema statunitense garantisce o meno un livello di protezione sostanzialmente equivalente a quello assicurato nell’Unione, la Corte rileva che esso è esclusivamente applicabile alle imprese americane che lo sottoscrivono e che, invece, le autorità pubbliche degli Stati Uniti non vi sono assoggettate.

Inoltre, le esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi prevalgono sul regime dell’approdo sicuro, cosicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste da tale regime laddove queste ultime entrino in conflitto con tali esigenze.

Il regime americano del safe harbor, così, rende possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone, e la decisione della Commissione a riguardo non menziona l’esistenza, negli Stati Uniti, di norme intese a limitare queste eventuali ingerenze, né l’esistenza di una tutela giuridica efficace contro tali ingerenze.

Una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata. Parimenti, una normativa che non preveda alcuna facoltà per il singolo di esperire rimedi giuridici diretti ad accedere ai dati personali che lo riguardano o ad ottenerne la rettifica o la cancellazione viola il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, facoltà, questa, che è connaturata all’esistenza di uno Stato di diritto.

Infine, la Corte ritiene che la decisione del la Commissione del 26 luglio 2000 priva le autorità nazionali di controllo dei loro poteri nel caso in cui una persona contesti la compatibilità della decisione con la tutela della vita privata e delle libertà e dei diritti fondamentali delle persone. La Commissione non aveva la competenza di limitare in tal modo i poteri delle autorità nazionali di controllo.

Per questo complesso di motivi, la Corte ha dichiarato invalida la decisione della Commissione del 26 luglio 2000. Tale sentenza comporta conseguentemente che l’autorità irlandese di controllo sia tenuta a esaminare la denuncia del sig. Schrems con tutta la diligenza necessaria e che a essa spetta, al termine della sua indagine, decidere se occorre o meno sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato.
Con soddisfazione Antonello Soro, Presidente del Garante per la privacy, ha commentato: “Con questa sentenza la Corte di Giustizia Europea rimette al centro dell’agenda degli Stati il tema dei diritti fondamentali delle persone e la necessità che questi diritti, primo fra tutti la protezione dei dati, vengano tutelati anche al di fuori dei confini europei. La Corte ha riaffermato con forza che non è ammissibile che il diritto fondamentale alla protezione dei dati, oggi sancito dalla Carta e dai Trattati UE, sia compromesso dall’esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l’ordinamento europeo sulla protezione dei dati”.

Post Navigation