Sicurezza

Nubi grigie sulla tutela dei nostri dati personali. Si apre il caso Safe Harbor

La Corte di giustizia UE invalida il programma del Dipartimento del Commercio USA. Il motivo? Gli Stati Uniti non garantiscono un adeguato livello di protezione dei dati personali trasferiti da persone o enti residenti nel Vecchio Continente alle 4.000 imprese statunitensi aderenti. Ora l’ultima parola ritorna ai singoli Stati Membri, che potranno decidere dove vadano conservati e trattati i dati dei propri cittadini. L’analisi di Gabriele Faggioli, giurista e Presidente Clusit

Pubblicato il 13 Ott 2015

lock-privacy-security-170719113539

PARTECIPA AL WEBINAR GRATUITO CON GABRIELE FAGGIOLI SULLE CONSEGUENZE DELLA SENTENZA SU SAFE HARBOUR IL 16 OTTOBRE ALLE ORE 14 – CLICCA E REGISTRATI

Martedì 6 ottobre 2015, con una clamorosa sentenza resa nell’ambito della causa C-362/14, la Corte di Giustizia dell’Unione Europea ha dichiarato invalida la decisione n. 2000/520/CE con cui la Commissione Europea ha aderito al programma c.d. “Safe Harbor, costituito da una serie di principi redatti dal Dipartimento del Commercio USA in accordo con la Commissione medesima, finalizzati a garantire un livello adeguato di protezione dei dati personali trasferiti da persone o enti residenti in Europa alle imprese statunitensi aderenti al programma.

In altre parole, secondo quanto statuito dalla Corte di Giustizia, i trasferimenti dati – fino a qualche giorno fa ritenuti “sicuri” –  verso le aziende statunitensi che annualmente aderivano al programma “Safe Harbor” potrebbero non essere più considerati tali e, di conseguenza, essere vietati, alla luce di quanto previsto dalla rigorosa disciplina vigente nell’Unione in materia di trasferimento di dati personali all’estero, che può aver luogo solo qualora il paese di destinazione dei dati garantisca “un livello di protezione adeguato” (art. 25, primo comma, direttiva 95/46/CE).

La vicenda da cui è scaturita la pronuncia in commento ha avuto origine dal giudizio instaurato dal cittadino Austriaco Maximillian Schrems contro l’Autorità Irlandese di protezione dei dati personali.

Sulla scorta delle rivelazioni rese nel 2013 da Snowden in merito alle attività dei servizi di intelligence statunitensi, Schrems adiva l’Authority di Irlanda (ove ha sede la filiale europea di Facebook Inc.), per contestare che i propri dati, trasferiti e trattati dall’azienda titolare dell’omonimo social network, potessero considerarsi adeguatamente tutelati dalla sorveglianza svolta dalle autorità pubbliche degli Stati Uniti, alla luce delle norme di diritto e delle prassi vigenti in tali Paesi.

L’Autorithy Irlandese, tuttavia, respingeva la denuncia dell’attivista austriaco, sulla base del presupposto che l’adeguatezza della protezione offerta dagli Stati Uniti ai dati personali riferiti a cittadini europei e trasferiti verso aziende aderenti al “Safe Harbor” era già stata accertata e statuita dalla Commissione Europea, con la Decisione 2000/520/CE, venendo a configurare, di fatto, un principio già “assodato”.

La Corte di Giustizia ha, invece, radicalmente ribaltato tale conclusione, sottolineando con forza la missione garantista di cui sono investite le autorità nazionali di controllo.

Secondo quanto statuito dalla Corte, l’esistenza di una decisione con cui la Commissione, ai sensi dell’art. 25 , comma sesto, Dir. 95/46, stabilisce che un paese extra UE garantisce un livello di protezione adeguato ai dati personali trasferiti verso esso non può annullare né ridurre i poteri di supervisione di cui le autorità nazionali di controllo dispongono in virtù della Carta fondamentale dei diritti dell’Unione (ivi compreso il potere di vietare un trasferimento attuato in violazione della normativa sulla protezione dei dati). Né, d’altra parte, esiste nell’ordinamento comunitario alcuna disposizione che sottragga al potere di supervisione e controllo delle Authorities nazionali i trasferimenti verso paesi extra UE che siano stati interessati dalla cc.dd. decisioni di adeguatezza adottate dalla Commissione Europea.

Di conseguenza, anche a fronte di una Decisione della Commissione, le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se un determinato trasferimento verso un paese terzo soddisfi tutte le tutele richieste dalla normativa europea.

Con specifico riferimento al Safe Harbor, la Corte giunge a decretarne l’invalidità sulla base delle seguenti considerazioni:

  • In primo luogo, nell’emanare una decisione di adeguatezza, la Commissione è chiamata a valutare se il paese destinatario del trasferimento sia in grado di offrire ai dati personali ricevuti un livello di tutela e protezione, se non identico, quantomeno “sostanzialmente equivalente” a quello offerto dall’ordinamento giuridico comunitario, avuto riguardo alla legislazione nazionale e agli obblighi internazionali assunti dal paese terzo. Tanto non è avvenuto nel caso di specie, ove – a parere della Corte – la Commissione non ha proceduto a una disamina del genere, ma si è limitata a valutare il Programma “Safe Harbor”, il quale, peraltro, trova applicazione nei confronti delle sole aziende che annualmente decidano di aderirvi volontariamente, non vincolando in alcun modo le autorità pubbliche statunitensi.
  • Per altro verso, ai sensi del quarto comma, dell’allegato I della Decisione 2000/520/CE, l’applicabilità dei principi “Safe Harbor” può essere legittimamente limitata o sospesa nella misura necessaria a soddisfare esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi; esigenze destinate, quindi, sempre a prevalere in ipotesi di potenziale conflitto con i principi dell’”approdo sicuro”.
  •  Di fatto, la legislazione statunitense permette alle autorità pubbliche di accedere e trattare i dati trasferiti in maniera incompatibile con la finalità per la quale è avvenuto il trasferimento, al di là di quanto strettamente necessario e proporzionato alla tutela della sicurezza nazionale, laddove “una legislazione che permetta alle autorità pubbliche di avere accesso in modo generalizzato ai contenuti di comunicazioni elettroniche deve essere considerata come una compromissione dell’essenza del diritto fondamentale del rispetto della vita privata. Allo stesso modo, una legislazione che non preveda alcuna possibilità per il singolo di esperire rimedi giuridici al fine di avere accesso ai dati personali che lo riguardano, o per ottenerne la rettifica o la cancellazione, non rispetta l’essenza del diritto fondamentale ad una tutela giurisdizionale effettiva”.

Per tali motivi, la Corte conclude affermando che l’art. 25, comma sesto della direttiva 95/45/CE, letto alla luce degli artt. 7,8 e 47 della Carta dei diritti fondamentali dell’Unione Europea, deve essere interpretato nel senso che una decisione adottata ai sensi di tale disposizione, come la decisione 2000/520/CE, con cui la Commissione stabilisca che un paese terzo assicura un adeguato livello d protezione, non impedisce che l’Autorità di controllo di uno Stato Mambro possa esaminare la richiesta di una persona circa la tutela dei suoi diritti, a fronte del trasferimento dei suoi dati personali all’estero, qualora sia messo in dubbio che la legislazione e la prassi del paese terzo garantiscano un adeguato livello di protezione.

I poteri delle autorità nazionali di controllo sono stati limitati da una decisione della Commissione assunta in eccedenza rispetto alla proprie competenze e, pertanto, da considerarsi invalida.

Venuto meno l’accordo che garantiva un ombrello di adeguatezza agli accordi stipulati dalle oltre 4.000 imprese statunitensi aderenti al “Safe Harbor”, l’ultima parola ritorna ai singoli Stati Membri, che potranno esercitare la propria autorità sovrana nel decidere dove vadano conservati e trattati i dati dei propri cittadini.

Nel frattempo, cautelativamente, le aziende che hanno sottoscritto contratti che prevedono trasferimento dati negli Stati Uniti sulla base del Safe Harbor potrebbero richiedere ai fornitori di stipulare le standard clauses della Commissione Europea per garantire la certa legittimità del trasferimento dei dati.

Certo è che, nel vuoto creato dal venir meno del “Safe Harbor”, una risposta comune a livello europeo si impone come necessaria e in questo senso si stanno già muovendo le Autorità Garanti nazionali.

Come dichiarato all’indomani della sentenza dal Presidente del Garante per la protezione dei dati personali, On. Antonello Soro, “anche gli Usa sono più sensibili al tema dopo lo scandalo datagate e le riforme che l’amministrazione Obama ha portato avanti sull’uso dei dati personali. Basti pensare che la Corte suprema degli Stati Uniti ha sancito il principio per cui l’uso, per motivi di sicurezza pubblica, delle informazioni contenute nel telefonino è possibile solo dopo l’autorizzazione del magistrato. Prima questo era impensabile”. Su questi presupposti, sarà interessante vedere a quali accordi Vecchio e Nuovo Continente riusciranno a giungere in occasione del futuro e annunciato Safe Harbor 2.

*Rispettivamente: Giurista, Partners4innovation (a Digital360 Company) – Presidente Clusit (Associazione Italiana per la sicurezza informatica) – e  Avvocato, Partners4innovation (a Digital360 Company).

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4