top of page
Cerca

Le criticità nel rapporto USA-UE: la sentenza Schrems I


1. Introduzione

Con il presente articolo si inaugura una rubrica dedicata all’analisi empirica delle pronunce giurisprudenziali più significative relative al trasferimento dei dati personali, le quali hanno modificato in modo sostanziale la relazione tra Stati Uniti ed Europa in questo ambito. Attraverso un esame approfondito del corpus decisionale noto come Schrems, si mira a illustrare compiutamente le carenze e le problematiche emerse nelle precedenti decisioni di adeguatezza. Questa serie di articoli intende fornire una solida base per comprendere il contesto attuale, simboleggiato dal Data Privacy Framework (DPF USA-UE) su cui successivamente verrà condotta un'analisi approfondita.

 


2. Maximilian Schrems contro Facebook: la sentenza Schrems I e l'annullamento del Safe Harbor

La serie di sentenze fondamentali nel campo del trasferimento dei dati, note come Schrems I e II, trae origine dalla denuncia di Maximilian Schrems, cittadino austriaco e attivista per la protezione dei dati personali. Tale denuncia fu ispirata dalle rivelazioni di Edward Snowden (informatico e attivista statunitense, in passato tecnico della CIA e, fino al 10 giugno 2013, collaboratore di un’azienda consulente della National Security Agency), che sollevarono dubbi sul livello di protezione dei dati dei cittadini europei garantito nell'ordinamento statunitense.

Snowden denunciò le raccolte di dati su larga scala e l'accesso a questi ultimi nei server delle principali Big Tech da parte della National Surveillance Authority (NSA). Tali ingerenze, erano autorizzate da una legge nazionale, il c.d. FISA (il foreign intelligence surveillance act, è una legge degli Stati Uniti che disciplina la raccolta di informazioni e la sorveglianza delle comunicazioni di individui stranieri all’estero). Il FISA costituiva la base giuridica per l'impiego del programma di sorveglianza elettronica Prism, che consentiva all’intelligence statunitense di ottenere da nove società internet l'accesso a un'ampia gamma di informazioni digitali, tra cui e-mail e dati memorizzati sui server stessi, appartenenti ad individui stranieri che vivevano al di fuori degli Stati Uniti.


Il primo reclamo e le conseguenze giuridiche

Il 25 giugno 2013, Maximilian Schrems presentò un primo reclamo all'Autorità Garante irlandese, chiedendo di interrompere il trasferimento dei dati da Facebook Ireland agli USA, in quanto non conforme alla protezione richiesta dalla direttiva europea. Il trasferimento si basava sulla Decisione di adeguatezza 2000/520/CE, nota come Safe Harbor. L'Autorità irlandese rigettò il reclamo, dichiarando di non essere competente a intervenire contro la Decisione della Commissione Europea, la quale legittimava i trasferimenti, ritenendo adeguato il livello di protezione offerto dagli USA. La vicenda proseguì con il ricorso del giovane attivista alla High Court irlandese, che riconobbe un «serio dubbio» sull'adeguatezza della protezione offerta dagli USA, considerando sproporzionato l'accesso esteso e indiscriminato ai dati da parte delle agenzie di intelligence. La High Court sollevò una questione pregiudiziale dinnanzi alla Corte di giustizia dell'Unione Europea, interrogandosi sul ruolo delle Autorità di controllo indipendenti per la protezione dei dati personali e sulla loro capacità di indagare in contrasto con la Decisione 2000/520.

 

La sentenza della Corte di Giustizia europea

La Corte di Lussemburgo, nella causa C-362/14 (Maximilian Schrems c. Data Protection Commissioner), stabilì che l'Autorità di controllo potesse esaminare le domande relative alla protezione dei dati personali, anche in presenza di una decisione della Commissione. In caso di incompatibilità con i principi del diritto europeo, l'Autorità avrebbe potuto promuovere un rinvio pregiudiziale attraverso i giudici nazionali. La Corte ribadì di essere l'unica autorità competente ad annullare una decisione di adeguatezza della Commissione. Così, in questa occasione, la Stessa chiarì il ruolo delle Autorità indipendenti e annullò la Decisione 2000/520/CE. Infatti, pur riconoscendo l'adeguatezza dei principi dell'allegato I (principi che le organizzazioni statunitensi che si certificavano Safe Harbor garantivano di rispettare), sostenne che la Decisione permettesse la disapplicazione di tali principi per esigenze di sicurezza nazionale senza fornire dovute contro-garanzie agli interessati; così consentendo un'ingerenza massiva da parte delle autorità di intelligence. Tale accesso generalizzato ai dati violava il diritto alla protezione dei dati e la tutela della vita privata garantiti dagli articoli 7 e 8 della Carta di Nizza, risultando illegittimo.


Il diritto fondamentale alla protezione dei dati personali

         Gli articoli 7 e 8 della Carta di Nizza sanciscono il diritto al rispetto della vita privata e familiare e il diritto alla protezione dei dati personali. Ogni individuo ha, infatti, diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni, nonché alla protezione dei dati personali che lo riguardano. I dati devono essere trattati con lealtà, per finalità determinate e basate sul consenso dell'interessato o su un altro fondamento legittimo previsto dalla legge. Inoltre, ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano, ha il diritto all'oblio ossia alla cancellazione dei propri dati e di ottenerne la rettifica, con il rispetto di queste regole soggetto al controllo di un'autorità indipendente. È bene rammentare come il diritto alla protezione dei dati personali, secondo la concezione europea, non implichi solo la libertà negativa di non subire interferenze nella propria vita privata, cuore del diritto alla riservatezza, ma debba esser inteso anche come la libertà positiva di esercitare un controllo sul flusso delle proprie informazioni. Per tale ragione, è pacifico che il diritto alla protezione dei dati personali, concepito come diritto all’autodeterminazione informativa, si traduca nel senso che l’interessato deve poter prendere una decisione consapevole sulle informazioni che lo riguardano.

Tale logica di fondo condusse la Corte a ritenere che non fosse conforme al diritto citato una normativa che non solo autorizzasse in maniera generale la conservazione e raccolta di tutti i dati personali degli interessati, trasferiti dall’Unione verso gli Stati Uniti senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo perseguito, ma anche non fornisse alcuna tutela giurisdizionale in osservanza dell’articolo 47 della Carta di Nizza. In particolare, la normativa statunitense non prevedeva alcuna possibilità̀ per il singolo di avvalersi di rimedi giuridici nei confronti delle autorità di intelligence al fine di accedere a dati personali che lo riguardavano, oppure di ottenere la rettifica o la cancellazione di tali dati, non rispettando il contenuto essenziale del diritto fondamentale a una tutela giurisdizionale effettiva.

 

3. Dall'accordo Safe Harbor al Privacy Shield

L’annullamento del Safe Harbor e le sue conseguenze

La Decisione 2000/520 venne così annullata dalla Corte nel 2015.  Nel frattempo, Facebook a seguito dell’annullamento della decisione di adeguatezza aveva già modificato la base giuridica per il trasferimento dei dati scegliendo la sottoscrizione di standard contractual clauses (le S.C.C sono state introdotte dalla Commissione nel 2010 a seguito della decisione 2010/87/UE, esse consentono il trasferimento di dati sulla base di specifiche condizioni da sottoscrivere tra il titolare e il destinatario adottate sullo schema di quelle indicate dalla Commissione) in luogo all’adesione a meccanismi di autocertificazione come quelli forniti dalla precedente decisione. Ciò nonostante, il sig. Schrems ripresentò denuncia, sostenendo che - nuovamente - gli Stati Uniti non offrissero una protezione sufficiente per giustificare il trasferimento dei dati da parte di Facebook. L'attore chiese di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dall’Unione verso gli Stati Uniti.

 

La validità della decisione 2010/87 e la parallela adozione della decisione 2016/1250

Pertanto, la denuncia del sig. Schrems questa volta era intesa a indagare la validità̀ della Decisione 2010/87. L'Autorità Garante irlandese, sollecitata dallo Stesso, avviò un procedimento presso la High Court affinché́ quest’ultima presentasse alla Corte di Lussemburgo una domanda di pronuncia pregiudiziale. Parallelamente, la Commissione Europea adottò la Decisione 2016/1250, conosciuta come Privacy Shield, in seguito a un impegno del governo statunitense di istituire un meccanismo di vigilanza, il Mediatore dello scudo, per monitorare le interferenze delle autorità di intelligence statunitensi per motivi di sicurezza nazionale, perpetrate attraverso l’ausilio degli strumenti giuridici noti come: l'Executive Order 12333 e la Sezione 702 del FISA (la sezione 702 del FISA autorizza il monitoraggio delle comunicazioni elettroniche, mail telefonate etc, di individui stranieri residenti all’estero o che comunicano con cittadini statunitensi al fine di trarre informazioni utili per la sicurezza del paese). Tale meccanismo aveva come fine quello di garantire il diritto a una tutela giurisdizionale come stabilito dall'articolo 47 della Carta di Nizza.

 

La ricevibilità della domanda pregiudiziale

In un primo momento Facebook tentò di sollevare eccezione sostenendo che la domanda pregiudiziale fosse irricevibile, sulla base dell’applicabilità̀ del Regolamento 2016/679 (il Regolamento è entrato in vigore dal 24 maggio 2016) a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella Decisione 2010/87 le quali trovavano la loro base nella direttiva 95/46/CE che era stata abrogata dal Regolamento stesso ai sensi dell’art. 94, par. 1. La Corte rispose che non solo la direttiva 95/46/CE era stata abrogata con effetto dal 25 maggio 2018 e pertanto risultava essere ancora in vigore al momento della formulazione della presente domanda di pronuncia pregiudiziale giunta alla Corte il 9 maggio 2018, ma anche che il Regolamento riprendeva sostanzialmente il contenuto della direttiva. Alla base di tali considerazioni la domanda venne ritenuta ricevibile e le questioni avanzate vennero interpretate alla luce del nuovo Regolamento.



4. Conclusione

Dunque, la High Court in questa occasione sollevò la questione di validità̀ tanto sulla decisione 2010/87 quanto sulla decisione 2016/1250. Questo evento segnò l'avvio del secondo, e probabilmente non ultimo, contenzioso giurisprudenziale, noto anche come Schrems II. Un'analisi approfondita di questa sentenza sarà oggetto del prossimo articolo.

 

 



Bibliografia

  • B. Gellman - L. Poitras, U.S., British intelligence mining data from nine U.S. Internet companies in broad secret program, Washington Post, 2013, https://www.washingtonpost.com/investigations/us-intelligence-mining-data-from-nine-us-internet-companies-in-broad-secret-program/2013/06/06/3a0c0da8-cebf-11e2-8845-d970ccb04497_story.html.

  • Carta dei diritti fondamentali dell’Unione europea, art. 7 – Rispetto della vita privata e della vita familiare: «Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni».

  • Carta dei diritti fondamentali dell’Unione europea, art. 8 – Protezione dei dati di carattere personale:  «Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».

  • Carta dei diritti fondamentali dell’Unione europea, art. 47 – Diritto a un ricorso effettivo e a un giudice imparziale: «Ogni persona i cui diritti e le cui libertà garantiti dal diritto dell'Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo. Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni persona ha la facoltà di farsi consigliare, difendere e rappresentare. A coloro che non dispongono di mezzi sufficienti è concesso il patrocinio a spese dello Stato, qualora ciò sia necessario per assicurare un accesso effettivo alla giustizia».

  • G. Finocchiaro, Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, Bologna, 2017, p. 6.

  • G. Finocchiaro, La giurisprudenza della Corte di giustizia in materia di dati personali da Google Spain a Schrems, in Il diritto dell’informazione e dell’informatica, 2015, pp. 118-119.

  • P. Guarda – G. Bincoletto, Diritto comparato della privacy e dei dati personali, Ledizioni, 2023, pp. 131 ss.

  • Sentenza della Corte di Giustizia dell’Unione europea del 6 ottobre 2015, causa C-362/14, Data Protection Commissioner c. Facebook Ireland Ltd, Maximillian Schrems, par. 29.

  • S.n., Scopriamo la sorveglianza di massa e il Foreign Intelligence Surveillance Act (FISA) e la sezione 702, Red Hot Cyber, 2023, https://www.redhotcyber.com/post/foreign-intelligence-surveillance-act-section-702/.




Commentaires

bottom of page