Michele Nino, Università di Salerno

1. La sentenza della Corte di giustizia dell’Unione europea, resa il 6 ottobre scorso (C-362/14, Schrems; sulla stessa si veda anche il post di Oddenino), è particolarmente importante, essendo pervenuta a dichiarare invalido il sistema di Safe Harbour – ovvero, il sistema di regolamentazione del trasferimento e dello scambio delle informazioni di carattere personale tra l’Unione europea e gli Stati Uniti –, in quanto non compatibile con la normativa UE, primaria e secondaria, concernente la tutela del diritto alla privacy e del diritto alla protezione dei dati personali. Essa sollecita sia qualche riflessione in merito alle modalità di salvaguardia dei dati personali trasmessi dall’Unione europea ai Paesi terzi, sia qualche considerazione riguardo al flusso transfrontaliero di informazioni di carattere personale tra USA e UE.

2. Il sistema di Safe Harbour – o “approdo sicuro” – costituisce un meccanismo inteso, da un lato, a favorire e potenziare le attività commerciali – e, di conseguenza, lo scambio di informazioni di carattere personale – tra le due sponde dell’Atlantico, e, dall’altro, a tutelare in maniera adeguata dette informazioni, anche e soprattutto a fronte delle evidenti differenze strutturali esistenti tra USA e UE in materia di tutela della privacy e dei dati personali. Esso è stato predisposto con la Decisione della Commissione 2000/520/CE, adottata in base all’articolo 25, paragrafo 6, della Direttiva 95/46 del 1995 (“Direttiva dati”), che prevede la possibilità che i dati personali possano essere trasferiti dall’Unione europea ad un Paese terzo, sempre che quest’ultimo garantisca un adeguato livello di protezione degli stessi, così come accertato dalla stessa Commissione alla luce di una serie di elementi. Tale sistema si fonda su un meccanismo di autoregolamentazione, che contempla anzitutto un’adesione volontaria, da parte di organizzazioni o società statunitensi, ai principi dell’“approdo sicuro” (si tratta di sette principi riguardanti in particolare: la notifica dei dati agli interessati; la scelta relativa alla rivelazione degli stessi; il trasferimento successivo dei dati; la sicurezza e l’integrità delle informazioni di carattere personale e l’accesso alle medesime, nonché le garanzie di applicazione dei suddetti principi) ed alle relative FAQ in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti nel 2000. Esso prevede inoltre un’autocertificazione dell’adesione al suddetto Dipartimento da parte delle stesse società. In base alla Decisione 2000/520/CE, i principi dell’approdo sicuro sono considerati in grado di assicurare un adeguato livello di protezione dei dati personali e, di conseguenza, l’adesione a questi principi è tale, di per sé, da garantire l’osservanza delle disposizioni della “Direttiva dati”.

3. La sentenza in esame trae origine da una richiesta di pronuncia pregiudiziale sollevata nell’ambito di una controversia tra un cittadino austriaco, il signor Schrems (giovane studente di giurisprudenza), e il Commissario irlandese per la protezione dei dati, a fronte del rifiuto di quest’ultimo di decidere sul ricorso del primo, teso a contestare il trasferimento dei propri dati personali, da parte di Facebook-Irlanda, negli Stati Uniti d’America, soprattutto a causa del caso Datagate, che ha portato alla rivelazione, nel 2013, dell’esistenza di un programma di sorveglianza massiva delle telecomunicazioni, denominato PRISM. Il Commissario, in particolare, si era dichiarato incompetente a pronunciarsi in merito alla richiesta del ricorrente, in quanto riteneva di non essere legittimato a sindacare la determinazione effettuata dalla Commissione nella Decisione 2000/520/CE, secondo cui gli Stati Uniti garantivano un adeguato livello di protezione dei dati. Nutrendo dubbi sulla idoneità della normativa USA a tutelare la privacy e i dati personali, e alla luce della presunta incompatibilità della Decisione 2000/520/CE con gli articoli 7 e 8 della Carta dei diritti fondamentali UE, l’High Court irlandese aveva sospeso il procedimento, sottoponendo ai giudici di Lussemburgo un duplice quesito, concernente: a) l’ambito dei poteri delle autorità nazionali indipendenti di controllo dei dati, istituite ex articolo 28 della “Direttiva dati”, in rapporto, in particolare, ad una decisione della Commissione adottata in base all’articolo 25, paragrafo 6, della direttiva stessa; b) la validità del sistema di Safe Harbour nel suo complesso.

In relazione alla prima questione, la Corte sottolinea che le autorità nazionali di controllo dei dati – e cioè le autorità che monitorano l’attuazione delle disposizioni della “Direttiva dati” negli Stati membri – dispongono di una serie di importanti poteri, in particolare: poteri investigativi e poteri d’intervento. A questo proposito, viene poi precisato l’ambito di applicazione dell’articolo 28, che è tale da riguardare tanto il trattamento delle informazioni personali realizzato in ambito europeo quanto i trasferimenti dei dati dall’Unione europea a Paesi terzi. In considerazione di ciò, le autorità in discussione sono investite di poteri di controllo in merito alla conformità di detti trasferimenti con le disposizioni della “Direttiva dati”, anche e soprattutto laddove gli stessi siano stati oggetto di una decisione della Commissione ex articolo 25, paragrafo 6, che valuti l’adeguatezza del livello di protezione delle informazioni di carattere personale in un Paese terzo (tale risulta essere la Decisione 2000/520/CE, relativamente al sistema giuridico statunitense). Di conseguenza, una simile decisione non impedisce alle autorità in questione – sempre a giudizio della Corte – di esaminare un ricorso di un individuo riguardante la protezione dei propri diritti e libertà in relazione ad un trattamento dei suoi dati personali che siano stati, o possano essere, trasferiti da uno Stato membro ad un Paese terzo, interessato dalla decisione medesima (punti 38-66 della sentenza).

Per quanto attiene alla seconda questione, la Corte concentra la sua analisi, in primo luogo, sui requisiti richiesti dall’articolo 25 della “Direttiva dati”, avendo riguardo, in particolare, alla nozione del livello di adeguatezza di protezione dei dati. Essa rileva l’assenza, all’interno delle disposizioni della Direttiva, della definizione di tale nozione, e la conseguente necessità di interpretare (e costruire) quest’ultima nei termini dell’equivalenza: ovvero, un ordinamento di uno Stato terzo deve essere considerato in grado di assicurare un adeguato livello di tutela delle informazioni personali, laddove esso assicuri, in fatto e in diritto, una tutela equivalente a quella garantita nell’Unione europea, in attuazione della “Direttiva dati” ed alla luce della Carta di Nizza (punti 73-74 della sentenza).

In tale contesto, i giudici di Lussemburgo sottopongono a critica la Decisione 2000/520/CE per una serie di ragioni: l’applicabilità dei principi di Safe Harbour alle sole organizzazioni che abbiano aderito agli stessi e non alle autorità pubbliche statunitensi, non tenute, in definitiva, alla loro osservanza; il riferimento, da parte di detta Decisione, all’adeguatezza del livello di protezione dei dati offerta dai principi di Safe Harbour e non dal sistema giuridico statunitense nel suo complesso; la prevalenza, in base alla Decisione de qua, delle ragioni connesse alla pubblica sicurezza sui principi dell’approdo sicuro e, quindi, l’ammissibilità dell’ingerenza nei diritti e libertà fondamentali delle persone, i cui dati siano trasferiti dall’Unione europea agli Stati Uniti, fondata su dette ragioni; la mancanza nella normativa USA di regole intese a limitare detta ingerenza nonché l’assenza, nella Decisione 2000/520/CE, della previsione di un effettivo sistema giuridico atto a contrastare la stessa. Tra l’altro, le autorità statunitensi hanno il potere di accedere ai dati personali trasferiti dall’UE agli USA e di trattare gli stessi difformemente dai principi di finalità limitata, proporzionalità e necessità dei dati (Rebuilding Trust in EU-US Data Flows (COM(2013) 846 final, punti 2, 3.2; punto 90 della sentenza). Tutte circostanze, queste, che mal si conciliano con il livello di protezione dei diritti fondamentali garantito nell’Unione europea, se si considera che una normativa europea, che limiti i diritti fondamentali previsti dagli articoli 7 e 8 della Carta di Nizza, deve essere chiara e precisa, supportata da adeguate garanzie e strettamente necessaria al fine da perseguire, non potendo prevedere un accesso massivo ed indiscriminato ai dati medesimi (v. in particolare: C-293/12 e C-594/12, Digital Rights Ireland Ltd).

Secondo la Corte UE, in base all’articolo 25, paragrafo 6, della “Direttiva dati”, la Commissione è tenuta a stabilire che il Paese terzo assicuri effettivamente una tutela equivalente a quella garantita nell’Unione europea. Dal momento che nella Decisione 2000/520/CE la Commissione non ha stabilito che gli Stati Uniti, in considerazione della loro legislazione nazionale o dei propri impegni internazionali, garantiscono una simile tutela, va, dunque, rilevata l’incompatibilità dell’articolo 1 di detta decisione con i requisiti richiesti dall’articolo in esame (punti 79-98 della sentenza).

La Corte continua poi la sua analisi soffermandosi sull’articolo 3, paragrafo 1, della Decisione 2000/520/CE, il quale stabilisce che: «Fatto salvo il loro potere di adottare misure per garantire l’ottemperanza alle disposizioni nazionali adottate in forza di disposizioni diverse dall’articolo 25 della direttiva 95/46/CE, le autorità competenti … possono sospendere flussi di dati diretti a un’organizzazione che ha autocertificato la sua adesione ai principi [di Safe Harbour]», in base a condizioni molto restrittive che prevedono una soglia particolarmente elevata per l’intervento delle stesse autorità.

Secondo la Corte, se è vero che questa disposizione fa salvo il potere delle autorità di controllo di porre in essere attività che garantiscano il rispetto delle normative nazionali adottate in base alla “Direttiva dati”, è del pari vero che essa esclude la possibilità di siffatte autorità di assicurare l’osservanza dell’articolo 25 della Direttiva medesima. Inoltre, la prima parte del suddetto articolo 3 è formulata in maniera tale da negare alle autorità competenti l’esercizio dei loro poteri, laddove esse siano adite da un individuo con un ricorso che sollevi dubbi sulla legittimità della decisione della Commissione, adottata ai sensi del paragrafo 6 dell’articolo 25 della “Direttiva dati”. La Commissione, dunque, per il tramite dell’articolo 3 della Decisione 2000/520/CE, avrebbe ecceduto i poteri conferiti dall’articolo 25 della “Direttiva dati”, che non le attribuisce la competenza di limitare quelli delle autorità nazionali di controllo (punti 99-104 della sentenza).

In ragione della incompatibilità degli articoli 1 e 3 della Decisione 2000/520/CE con la normativa UE, primaria e secondaria, in materia di privacy e di dati personali, e della loro inseparabilità dagli articoli 2 e 4 della stessa, la Corte, seguendo le conclusioni dell’avvocato generale Bot, si pronuncia per la invalidità di detta Decisione e, dunque, per la invalidità del sistema di Safe Harbour nel suo complesso.

4. Nella sentenza Schrems la Corte di Giustizia UE, in linea con un proprio emergente filone giurisprudenziale, teso a tutelare adeguatamente la privacy e i dati personali (C-131/12, Google Spain SL e Google Inc.; C-288/12, Commissione europea c. Ungheria; C-293/12 e C-594/12, cit.), e nel contesto di un settore, quale quello del trasferimento delle informazioni personali dall’Unione europea agli Stati terzi (e degli Stati Uniti in particolare), sul quale non aveva avuto ancora la possibilità di pronunciarsi, offre una interpretazione della “Direttiva dati”, informata all’effettiva tutela di dette situazioni giuridiche, in omaggio alle pertinenti disposizioni della Carta di Nizza e ai principi generali di diritto UE.

Questa sentenza può essere giudicata favorevolmente, in quanto contribuisce all’articolazione dei poteri tra le autorità pubbliche, nazionali ed europee, nel contesto della attuazione delle previsioni contenute nella “Direttiva dati”. In effetti, escludendo il monopolio esclusivo della Commissione europea in relazione alla valutazione della adeguatezza del livello di protezione dei dati offerto dal Paese terzo, e riconoscendo, peraltro, in tale ambito, un importante potere discrezionale alle autorità di controllo, la Corte pretende che detta valutazione sia realmente obbiettiva, allo scopo di offrire una tutela effettiva agli individui i cui dati siano trasferiti dall’Unione europea ad uno Stato non membro (non solo sul piano sostanziale ma anche sul piano processuale). Ciò è quanto discende, in particolare, dall’obbligo che incombe sulle suddette autorità (C-518/07, Commissione c. Germania, punti 23, 25; C-614/10, Commissione c. Austria, punto 37; C-288/12, cit., punto 48; considerando 62 della “Direttiva dati”) di svolgere le loro funzioni in maniera, per l’appunto, obiettiva ed imparziale, sottraendosi a qualsiasi forma di influenza esterna, a partire dall’influenza diretta o indiretta dello Stato che ha provveduto alla loro istituzione (C-288/12, cit., punto 51; C-518/07, cit., punto 25; C-614/10, cit., punto 41). La garanzia di indipendenza delle autorità di controllo costituisce un elemento portante della struttura della “Direttiva dati”, se si considera quanto affermato dalla Corte in relazione alla incapacità della Commissione, in base all’articolo 25, paragrafo 6, di limitare i poteri delle autorità stesse (punto 103 della sentenza). Più esattamente, l’innovatività di questo dictum risiede non tanto e non solo nella enunciazione dei poteri conferiti alle autorità di controllo dei dati (poteri investigativi e poteri d’intervento) quanto nella loro estensione ai casi di trasferimenti dei dati dall’Unione europea agli Stati terzi. In tal modo, la Corte dimostra una particolare sensibilità verso la tutela della privacy degli individui coinvolti e, quindi, una decisa volontà tesa a riconoscere tutele equivalenti ai dati personali, sia che gli stessi vengano trattati in Europa, sia che vengano trasferiti in uno Stato terzo.

Non poco rilievo assume il fatto che la pronuncia si concretizza in una dura critica ai regimi di tutela della privacy e dei dati personali offerti tanto dal sistema di Safe Harbour quanto dall’ordinamento giuridico statunitense nel suo complesso, attraverso una comparazione tra gli stessi ed i principi europei in argomento. Questa critica sembra senz’altro fondata, se solo si tiene conto del fatto che, diversamente dall’ordinamento UE, in cui, dopo l’entrata in vigore del Trattato di Lisbona, i diritti alla privacy e alla protezione dei dati sono considerati fondamentali e disciplinati dettagliatamente, il sistema giuridico statunitense non opera un simile riconoscimento e non prevede una disciplina precisa e uniforme tesa a tutelare adeguatamente detti diritti, ma una normativa frammentaria e settoriale. Tali differenze non risultano superate dal sistema di Safe Harbour, che è stato, tra l’altro, criticato nel corso degli anni, tanto dalla dottrina, europea e statunitense, quanto dal Gruppo di Lavoro “Articolo 29” per la tutela dei dati personali, in ragione della sua mancanza di effettività e della sua incapacità a tutelare adeguatamente la privacy dei cittadini europei in base alle disposizioni della “Direttiva dati” (v., ad esempio: Parere 1/1999). D’altra parte, tutto ciò sembra trovare conferma nel fatto che la totalità delle società statunitensi coinvolte nel programma PRISM, le quali hanno consentito per lungo tempo alle autorità americane un accesso illimitato ai dati delle telecomunicazioni conservati e trattati negli USA, avevano autocertificato la loro adesione ai principi di Safe Harbour (Communication from the Commission to the European Parliament and the Council on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU (COM(2013) 847 final), p. 16).

La sentenza si inquadra nella più ampia tendenza, invalsa nell’Unione europea, che considera l’ordinamento giuridico statunitense inidoneo a garantire la salvaguardia del diritto alla privacy individuale. In effetti, i numerosi accordi tra Unione europea e Stati Uniti, regolanti tanto il trasferimento dei dati dei passeggeri aerei quanto la trasmissione dei dati bancari e finanziari tra le due sponde dell’Atlantico, adottati tra il 2004 e il 2010, sono stati fortemente criticati dalle autorità europee per la protezione dei dati, perché giudicati non in grado di assicurare l’osservanza dei principi UE in materia di tutela delle informazioni di carattere personale (v.: Gruppo di Lavoro “Articolo 29”, Parere 5/2007; Garante europeo della protezione dei dati, Parere 2010).

Con la sentenza Schrems, dunque, i giudici di Lussemburgo, decidendo l’invalidità del sistema di Safe Harbour, chiudono il cerchio. Ovvero: ergendosi a custodi della tutela della privacy e dei dati personali in Europa (conformemente alla sentenza del 2014, in cui è stata rilevata la invalidità del sistema della data retention indiscriminata e duratura; C-293/12 e C-594/12, cit.), essi affermano, in definitiva, la necessità che i trasferimenti delle informazioni personali tra Unione europea e Stati Uniti siano informati alla effettiva osservanza dei principi della normativa europea, primaria e secondaria.

Quanto, infine, agli effetti estrinseci di tale pronuncia, la sua adozione implica non solo una potenziale accelerazione della riforma della normativa europea sulla protezione dei dati (nel 2012 la Commissione ha predisposto un pacchetto al riguardo), ma anche la ridefinizione delle modalità di trasferimento delle informazioni personali dall’Unione europea agli Stati Uniti. Nel corso degli anni, è stata ventilata la prospettiva di un accordo internazionale regolante detto trasferimento. La predisposizione di un trattato di tal genere, inteso a disciplinare, nonché a ridurre, le differenze tra UE e USA, potrebbe costituire una soluzione adeguata, a patto, però, che sia preventivamente preceduta da una modifica sostanziale della normativa statunitense in materia di privacy e di dati personali, idonea a realizzare una tutela equivalente – per dirla con le parole della Corte UE – a quella offerta dall’ordinamento giuridico UE.