Lo scorso 25 maggio 2016, il “Data Protection Commissioner” irlandese (l’Autorità garante della protezione dei dati personali di Irlanda) ha dichiarato, con una comunicazione sul suo sito ufficiale, di voler proseguire l’analisi e le investigazioni inerenti la protezione dei dati personali trasferiti dal territorio dell’Unione europea agli Stati Uniti. In particolar modo il Garante irlandese vuole garantire un’adeguata protezione dei dati personali, alla luce dell’invalidità del “Safe Harbor” dichiarata nell’ottobre 2015 e in attesa del nuovo “Privacy Shield”, che dovrebbe sostituirlo.
Who's Who
Gabriele Faggioli
In virtù della tutela dei diritti dei cittadini europei, il Garante irlandese vuole porre l’attenzione sull’utilizzo delle Standard contractual clauses utilizzate da Facebook, ma anche da altre società, per poter trasferire i dati personali oltreoceano, in assenza dell’ormai invalido “Safe Harbor”. Facebook, il cui quartier generale europeo è collocato a Dublino, ha continuato a trasferire i dati negli Stati Uniti, legittimando il trasferimento sulla base di “model clauses”, in sostituzione delle disposizioni del “Safe Harbor”, oramai invalido.
Le Standard Contractual Clauses sono strumenti contrattuali espressamente approvati dalla Commissione europea, che hanno lo scopo di offrire sufficienti garanzie in ordine al trasferimento dei dati verso Paesi terzi. Con l’invalidità dei principi del “Safe Harbor”, infatti, le società che trasferivano i dati verso gli Stati Uniti si sono trovate prive di una base legale fino a quel momento sicura, necessitando di trovare alternative per poter garantire i suoi servizi, avendo anche la possibilità di trasferire i dati negli Stati Uniti.
Ed è ciò che Facebook Ireland ha scelto di fare. Attraverso il ricorso alle Standard Contractual Clauses ha voluto garantire il rispetto della protezione dei dati personali trasferiti negli Stati Uniti, stipulando un “Data Transfer and processing Agreement” con Facebook USA.
Dunque, alla luce della situazione venuta a crearsi, il Garante irlandese ha disposto di voler agire per valutare la legalità delle Standard Contractual Clauses, in ragione dell’effettiva tutela dei dati personali dei cittadini europei e sulla possibilità o meno degli stessi di avviare un’azione in tutela dei propri diritti. Infatti, il cambiamento della base legale che regolamenta il trasferimento dei dati negli Stati Uniti non elimina però il rischio che tali dati siano sottoposti alla vigilanza da parte delle autorità statali interne e soprattutto non predispone la possibilità di presentare un reclamo in caso di violazione dei diritti da parte dei cittadini europei. Per tali ragioni il Data Protection Commissioner irlandese, attraverso l’avvio di un procedimento davanti alla High Court irlandese, vuole sottoporre all’attenzione della Corte di Giustizia europea la validità o meno delle Standard Contractual Clauses in merito al trasferimento dei dati in un Paese terzo.
L’azione promossa dal Garante irlandese segue le obiezioni che Max Schrems aveva presentato in ordine alle modalità con cui Facebook continuava a trasferire i dati negli Stati Uniti, sottolineando la continua violazione dei diritti dei cittadini europei, indipendentemente dalla base giuridica seguita per permettere il trasferimento. Perciò, anche l’utilizzo delle “model clauses” non garantirebbe una tutela ai dati personali trasferiti, andando perciò a violare i principi essenziali della privacy garantiti a livello europeo.
La decisione del Garante irlandese è stata comunicata sia a Max Schrems sia a Facebook, che immediatamente hanno espresso le loro valutazioni in merito. Max Schrems, dalle cui azioni è derivata la pronuncia della Corte di Giustizia europea sul “Safe Harbor”, ha espresso interesse nell’azione promossa dal Garante, sottolineando anche la volontà di costituirsi nel procedimento che dovrebbe essere avviato nei giorni seguenti, e ha espresso sue valutazioni in merito alle “model clauses”. Secondo Max Schrems, fino a quando i dati personali trasferiti negli Stati Uniti saranno sottoposti ai controlli interni da parte delle autorità statali, qualsiasi base legale che regolamenti il trasferimento sarà sempre soggetta ad annullamento o a limitazioni, sulla base dei diritti fondamentali dell’Unione europea. Per tale ragione, per Max Schrems, risulta improbabile che la Corte di Giustizia europea possa considerare valide le “model clauses”, anche alla luce delle motivazioni che hanno spinto la Corte ad invalidare il “Safe Harbor”. Inoltre, Schrems ritiene che sarà difficile superare questa impasse fino a quando gli Stati Uniti non cambieranno le leggi relative alla sorveglianza dei dati personali.
Facebook, d’altra parte, attraverso il suo portavoce, ha sottolineato come la decisione del Garante irlandese avrà notevoli ripercussioni sulle società che costantemente trasferisco dati all’estero per garantire i servizi ai propri clienti, concludendo di voler cooperare con l’Autorità irlandese durante le sue indagini, ma sostenendo la validità legale delle Standard Contractual Clauses impiegate fino a questo momento.
Siamo dunque di fronte a un nuovo capitolo in ordine al trasferimento dei dati personali all’estero, in un momento sostanziale per quanto riguarda la protezione dei dati personali a livello europeo. Dopo l’entrata in vigore del Regolamento europeo in materia di protezione dei dati personali e gli incontri tra i vertici dell’Unione europea e quelli degli Stati Uniti per l’adozione di un nuovo accordo riguardante il trasferimento dei dati in territorio americano (“Privacy Shield”), la Corte di Giustizia europea sarà nuovamente coinvolta per valutare, questa volta, la legittimità delle Standard Contractual Clauses, che stanno regolamentando in questi mesi il trasferimento dei dati personali negli Stati Uniti.
Si aprirà dunque una serie di ipotesi future nel caso in cui le Standard Contractual Clauses vengano considerate invalide dalla Corte di Giustizia europea. Come avvenuto nei giorni successivi alla sentenza che invalidava il “Safe Harbor”, le società che per i loro servizi trasferiscono i dati personali negli Stati Uniti dovranno trovare basi legali alternative che permettano il trasferimento. Rimarrebbero le BCR (“Binding Corporate Rules”), documento contenente una serie di clausole che fissano i principi vincolanti per il trasferimento dei dati verso Paesi terzi extra-UE, tra società che fanno parte dello stesso Gruppo societario. Oppure il futuro accordo tra UE e USA, il “Privacy Shield”, che però non ha ricevuto il sostegno da parte dell’EDPS (“European Data Protection Supervisor”), in merito a una effettiva garanzia dei principi fondamentali della protezione dei dati.
Si resta pertanto in attesa dell’azione annunciata dal Garante irlandese e della futura ed eventuale pronuncia della Corte di Giustizia europea, che sarà investita nuovamente nella materia della protezione dei dati personali, trasferiti negli Stati Uniti.
*Gabriele Faggioli e Cecilia Ciarrocchi, legali, P4I-Partners4Innovation
