top of page
Cerca

Le criticità nel rapporto USA-UE: la sentenza Schrems II

Aggiornamento: 30 lug 2024


1.Introduzione

Dopo aver analizzato il primo conflitto, noto come Schrems I, il presente contributo si focalizza sul secondo conflitto, c.d. Schrems II. Questa vicenda giurisprudenziale ha avuto origine a seguito di un nuovo giudizio promosso dallo stesso Schrems, volto a contestare la validità delle standard contractual clauses utilizzate da Facebook per il trasferimento dei dati personali. In tale contesto, la High Court irlandese ha sollevato questioni riguardanti la validità tanto della decisione 2010/87 quanto della decisione 2016/1250.


Le questioni sottoposte alla Corte di Giustizia Europea        

La High Court irlandese interrogò la Corte di giustizia dell'Unione europea su 11 questioni che possono esser riassunte in questo modo:

con la prima questione la Corte di giustizia venne interrogata sull'applicabilità del Regolamento a un trasferimento di dati personali, effettuato da un operatore economico situato in uno Stato membro verso un’entità stabilità in un paese terzo, nel caso in cui tali dati fossero successivamente trattati dalle autorità del paese extra UE per finalità di pubblica sicurezza, difesa e sicurezza dello Stato. In particolare, si trattava di stabilire se l’autorità di intelligence, sulla base di strumenti normativi interni quali l’art. 702 del FISA e l’Executive Order 12333, fosse autorizzata a chiedere l’accesso ai dati di Facebook per finalità di sicurezza nazionale. In risposta la Corte affermò che la possibilità che i dati personali fossero trattati per questi fini da parte delle Autorità del paese terzo non escludeva il trattamento principale dall’ambito di applicazione territoriale e materiale del Regolamento ai sensi dell’art. 2) par. 1) del Regolamento.

In merito alle questioni seconda, terza e sesta, l’obiettivo era definire il livello di protezione richiesto dall’articolo 46 del Regolamento in merito alle standard contractual clauses, chiarendo quali elementi dovessero esser presi in considerazione per determinare se il livello di protezione fosse concretamente garantito nel contesto di un trasferimento di dati personali. Questo passaggio si rivelò fondamentale nella sentenza, poiché, a seguito dell’annullamento della Decisione di adeguatezza 2000/502, c.d. Safe Harbor, lo strumento legale che giustificava il trasferimento dei dati adoperato da Facebook erano proprio le standard contractual clauses. Sul punto, la Corte di Lussemburgo rispose che il paese terzo non doveva prevedere un livello di protezione identico, ma «sostanzialmente equivalente» a quello europeo come stabilito dal Regolamento al considerando 104. In presenza di un trasferimento basato su tali clausole, la valutazione di adeguatezza doveva tener conto sia del contenuto delle clausole pattuite tra il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione e il destinatario del trasferimento stabilito nel paese terzo, sia degli elementi rilevanti del sistema giuridico di destinazione (essi consistono negli stessi elementi che la Commissione deve valutare quando procede all’elaborazione di una decisione di adeguatezza). Inoltre, la Corte in questa occasione ribadì che l’interpretazione del diritto dell’Unione doveva essere effettuata alla luce dei diritti fondamentali garantiti dalla Carta, sottolineando nuovamente l’importanza degli artt. 7 e 8. Pertanto, ai sensi dell’art. 46) par. 1) del Regolamento, il titolare del trattamento o il responsabile del trattamento poteva trasferire dati personali verso un paese terzo solo se avesse previsto «garanzie adeguate» e a condizione che gli interessati disponessero di «diritti azionabili e mezzi di ricorso effettivi». 

L’ottava questione, invece, verteva sulla possibilità per un’autorità di controllo di sospendere o vietare un trasferimento di dati personali verso un paese terzo, effettuato sulla base delle suddette clausole adottate dalla Commissione, nel caso in cui l’autorità avesse ritenuto che tali garanzie non avessero potuto esser rispettate nel paese di destinazione di essi. La Corte rispose positivamente, affermando che, se l’Autorità al termine della sua indagine avesse ritenuto che l’interessato, i cui dati personali fossero stati trasferiti verso un paese terzo, non avesse goduto in quest’ultimo di un livello di protezione adeguato, sarebbe stata tenuta ad intraprendere misure idonee al fine di porre rimedio all’inadeguatezza constatata.  Ergo, l’autorità di controllo venne legittimata a sospendere o a vietare il trasferimento di dati verso un paese terzo effettuato sulla base di standard contractual clauses adottate dalla Commissione, qualora avesse accertato che le suddette clausole non fossero o non potessero essere rispettate in tale paese terzo.

Le questioni numero sette e undici, diversamente, vertevano sulla validità della Decisione 2010/87 relativa alle standard contractual clauses. Dal momento che l’utilizzo di questo strumento non vincolava le autorità del paese terzo, ma solo le parti che le avevano sottoscritte, la Corte non rilevò nessun elemento per inficiare la validità di tale decisione. Il titolare del trattamento, tuttavia, e il soggetto destinatario dovevano di volta in volta verificare il livello di protezione garantito nel paese terzo prescelto per non incorrere in una violazione della normativa. Si sottolinea che, sebbene tali clausole fossero vincolanti per il titolare del trattamento stabilito nell’Unione e per il destinatario del trasferimento di dati personali stabilito in un paese terzo, esse non potevano vincolare le Autorità del paese terzo, poiché queste ultime non erano parti del contratto. In altre parole, le standard contractual clauses che obbligavano le parti contrattuali ad assicurare determinate garanzie, in caso di trasferimento dati, non impegnavano le autorità del paese destinatario a rispettare tali garanzie.  

Infine, in merito alla quarta, quinta, nona e decima questione, è stato chiesto nuovamente alla Corte di valutare la validità della decisione di adeguatezza comunemente nota come «Privacy Shield», in relazione alle deroghe ai principi garantiti, per esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia, e alla figura del Mediatore dello scudo. La Corte statuì che la comunicazione di dati personali a un terzo, quale autorità pubblica, costituisse una forma di ingerenza nei diritti fondamentali alla protezione della vita privata e familiare ai sensi dell’art. 7 a e alla protezione dei dati ai sensi dell’art. 8 della Carta. Si rammenta che tali diritti non siano assoluti, difatti possono essere bilanciati con altri. Tuttavia, da un’analisi dell’art. 702 del FISA, emerse che il diritto statunitense non prevedeva alcuna limitazione all’autorizzazione per l’attuazione della sorveglianza, né garanzie per i cittadini stranieri potenzialmente soggetti a tali programmi. Questa norma, secondo la Corte, non era idonea a garantire un livello di tutela «sostanzialmente equivalente». Nemmeno l’Executive Order 12333 si considerò idoneo, perché non comprendeva un controllo giudiziario all’accesso ai dati, una limitazione alla quantità di informazioni strettamente necessarie alla finalità, alcuna possibilità per il singolo interessato di avvalersi di rimedi giuridici, come un ricorso. Il sistema di sorveglianza, pertanto, risultava sproporzionato. Invece, circa la figura di nuova creazione, il c.d. Mediatore dello scudo, egli era designato dal Segretario di Stato e ciò pose un dubbio sulla sua indipendenza rispetto al potere esecutivo, tanto più che non era prevista una possibilità per sanzionare le autorità di intelligence non adempienti alle sue decisioni.

Alla luce di tali argomentazioni la Corte annullò la Decisione 2016/1250, c.d. Privacy Shield, in quanto contraria ai requisiti previsti dall’art. 45 GDPR e degli artt. 7 e 8 della Carta di Nizza. 

 

 

2. Le conseguenze e gli sviluppi dell’annullamento della decisione di adeguatezza 2016/1250: dall’Executive Order 14086 all’accordo EU-USA Data Privacy Framework

 

La decisione 2021/914: l'aggiornamento delle standard contractual clauses

A seguito dell’annullamento della decisione di adeguatezza 2016/1250 risultante dalla Sentenza C-311/18 comunemente nota come Schrems II, rimasero valide le SCC, le quali nel giugno del 2021 vennero aggiornate attraverso la Decisione 2021/914. Tuttavia, rispetto ad una decisione di adeguatezza, l’impiego delle standard contractual clauses risultava più complesso dal momento che spettava all’esportatore e all’importatore dei dati verificare il rispetto, nel paese terzo, del livello di protezione richiesto dal diritto dell’Unione, ossia se le garanzie previste dalle standard contractual clauses potessero essere effettivamente osservate nella pratica. Alla luce degli sviluppi in materia di trasferimento dati successivi alla sentenza Schrems II, la nuova clausola 14 richiedeva alle parti di valutare, prima di concludere gli accordi contrattuali, se le leggi e le prassi del paese terzo di destinazione, applicabili al trattamento dei dati personali, potessero impedire all’importatore di rispettare le clausole. Tale verifica dava luogo ad una situazione dubbia, dal momento che l’impiego di queste clausole non poteva vincolare terzi, e nel caso specifico vincolare l’autorità di intelligence a rispettarle. Tuttavia, un accesso indiscriminato da parte delle autorità pubbliche nei dati degli interessati costituiva un motivo di illegittimità perché metteva l’importatore nelle condizioni di non rispettare le garanzie previste dall’Unione all’interno dell’accordo contrattuale con l’esportatore. Dunque, non garantendo un livello di tutela sostanzialmente equivalente, il trasferimento dati rischiava di divenire oggetto di impugnazione.


L'Executive Order 14086

Considerate queste premesse, è emersa la necessità di trovare un punto di convergenza che permettesse il trasferimento di dati in maniera sicura e continua, conciliando sia le ragioni dell’economia che vedono lo scambio dei dati come un elemento cardinale per l’economia contemporanea sia le ragioni giuridiche che pongono i diritti dell’interessato al primo posto. Così nell’Ottobre del 2022, il Presidente degli Stati Uniti Biden ha firmato l’Executive Order 14086 (Enhancing Safeguards for United States Signals Intelligence Activities) per implementare nella legislazione statunitense quanto stabilito dalla Corte di giustizia dell'Unione europea con le sentenze Schrems I e II sulla necessaria limitazione all’accesso ai dati personali da parte dei servizi di intelligence.

L’Executive Order, mira a limitare l’accesso a quanto necessario e proporzionato per proteggere la sicurezza nazionale e istituire un meccanismo di ricorso indipendente e imparziale per gli interessati, dal momento che, come visto precedentemente, l’istituzione di un Mediatore dello scudo non garantiva un giudizio di imparzialità sufficiente. 

In tale provvedimento sono stati previsti degli ulteriori obblighi in capo alle agenzie di intelligence degli Stati Uniti prevedendo che le loro attività (i) siano condotte solo nel perseguimento di obiettivi definiti di sicurezza nazionale; (ii) tengano conto della privacy e delle libertà civili di tutte le persone, a prescindere dalla nazionalità o dal Paese di residenza; (iii) siano condotte solo quando necessarie per portare avanti un'accertata priorità di intelligence e solo nella misura e con modalità proporzionate a tale priorità. 

Significativa, inoltre, è stata la creazione di un meccanismo di ricorso indipendente su due livelli.

Nel primo livello, il Funzionario per la protezione delle libertà civili presso l'Ufficio del direttore dell'intelligencenazionale, Civil Liberties Protection Officer (CLPO), condurrà una prima indagine sui reclami ricevuti dai cittadini europei per verificare una possibile violazione della normativa (compreso l’ordine esecutivo stesso). Tale provvedimento ha previsto che la decisione del Funzionario sarà vincolante per le agenzie. A garanzia dell'indipendenza delle indagini e delle decisioni del CLPO, come secondo livello sarà istituito un Tribunale di revisione sulla gestione dei dati personali (DPRC). Il Tribunale avrà lo scopo di fornire un’analisi indipendente e vincolante delle decisioni del Funzionario, su richiesta dell’interessato coinvolto nel caso in cui decidesse di far ricorso alla sua decisione. In ottemperanza all’art 47 della Carta di Nizza, i giudici di questo particolare Tribunale, designati al di fuori del governo degli Stati Uniti, esamineranno i casi in modo indipendente e godranno di una protezione contro la loro rimozione, in modo tale che possa esser garantita un’effettiva tutela giurisdizionale agli interessati.



3. Conclusioni

Grazie a tali garanzie, il 10 luglio 2023 la Commissione Europea, dopo 3 anni di intensa negoziazione, ha adottato una nuova decisione di adeguatezza tesa a dichiarare il livello di protezione degli Stati Uniti equivalente a quello dell’Unione Europea. Questa decisione rappresenta un passo significativo nell’ambito di trasferimenti di dati transatlantici, nonché nel contesto del progresso tecnologico e dello sviluppo del commercio tra le due superpotenze. La decisione è progettata per agevolare il flusso transatlantico dei dati in un'epoca in cui le aziende piattaforma giocano un ruolo pervasivo nella vita quotidiana. Tale quadro, inoltre, testimonia un progressivo avvicinamento tra i due modelli, promuovendo una maggiore coerenza e collaborazione in materia di protezione dei dati tra l'Unione Europea e gli Stati Uniti.

 

 

 


Bibliografia

 

Comments

bottom of page