privacy

La Corte di giustizia demolisce il safe harbor e ridisegna i confini del diritto alla privacy in ambito transnazionale

| 7 ottobre 2015


La sentenza consegnata nella giornata di ieri dalla Corte di giustizia nella causa C-362/14 segna un ulteriore punto di non ritorno nel percorso di rivisitazione dei confini del diritto alla privacy che i giudici del Lussemburgo paiono aver intrapreso da poco più di un anno a questa parte, supportati dal conforto interpretativo degli artt. 7 e 8 della Carta dei diritti fondamentali dell'Unione europea.
Dopo le storiche sentenze Digital Rights Ireland e Google Spain, rispettivamente dell'aprile e del maggio del 2014, un altro tassello va ad aggiungersi al mosaico con cui la Corte di giustizia sta progressivamente rielaborando il contenuto della tutela dei dati personali in Europa, stavolta con conseguenze di grandissimo momento nel rapporto con gli Stati Uniti.
La sentenza colpisce, con effetti difficilmente preventivabili, una delle pietre miliari su cui si fonda il trasferimento di dati personali al di fuori dell'Unione europea, e segnatamente verso gli Stati Uniti: ossia, la decisione con cui nel 2000 la Commissione europea aveva accertato, in conformità a quanto previsto dall'art. 25 della direttiva 95/46 ("direttiva Data Protection"), che l'ordinamento statunitense garantisse un livello adeguato di protezione dei dati personali, condizione per il loro trasferimento verso paesi terzi.
L'art. 25 della direttiva, infatti, per un verso, subordina la possibilità di effettuare un trasferimento di dati all'esterno dell'Unione europea alla condizione che lo stato terzi assicuri, per l'appunto, un grado di tutela adeguato; per altro verso, affida alla Commissione il compito di valutare l'adeguatezza di tale tutela, sulla base delle disposizioni di diritto interno e degli accordi internazionali cui lo stato terzo è parte.
Sotto altro profilo, l'art. 28 della direttiva attribuisce alle autorità di vigilanza (i.e. le autorità di protezione dei dati personali locali) ampi poteri sul rispetto delle disposizioni previste dalla direttiva, tramite poteri investigativi e di intervento o, addirittura, il coinvolgimento in procedimenti scaturiti dalla violazione delle suddette norme da parte dei rispettivi Stati membri.
La pronuncia della Corte del Lussemburgo interviene a piedi uniti da entrambi i lati.
Per un verso, infatti, stabilisce che l'esistenza di una decisione come quella adottata dalla Commissione nel 2000 non priva le autorità nazionali di regolazione del potere di conoscere eventuali ricorsi da parte degli interessati che lamentino che lo stato terzo verso cui i rispettivi dati personali sono trasferiti non garantisca un adeguato livello di protezione.
Per altro verso, la Corte di giustizia invalida la decisione 2000/520, con la quale la Commissione aveva accertato che il safe harbor, ossia l'insieme di tutela predisposte nell'ordinamento statunitense a presidio dei dati personali, definisse un livello di protezione adeguato.
La vicenda che ha dato origine al rinvio pregiudiziale e al successivo pronunciamento da parte della Corte di giustizia risale a un ricorso presentato da un cittadino austriaco presso il Data Protection Commissioner, l'autorità di protezione dei dati personali irlandese. In tale sede, egli lamentava che i dati personali da lui forniti alla consociata irlandese di Facebook, operante la raccolta degli stessi in Europa, una volta trasferiti da questa alla società madre sita negli Stati Uniti, fossero ivi esposti a pericolo a causa delle attività di spionaggio di massa condotte dal governo statunitense. Veniva così contestato il presupposto per cui, in forza della decisione della Commissione del 2000, gli Stati Uniti assicurassero un adeguato livello di protezione dei dati personali. Una volta respinto il ricorso, l'interessato adiva l'autorità giudiziaria per chiedere, da un lato, se l'esistenza di una decisione siffatta precludesse alle autorità di controllo nazionali l'esame dei ricorsi individuali volti a segnalare un livello inadeguato di tutela; dall'altro, se le condizioni previste dalla legislazione statunitense e richiamate dalla decisione permettessero di soddisfare effettivamente gli standard richiesti dalla direttiva.
La pronuncia della Corte segue un andamento lineare e consequenziale, articolandosi in un ragionamento che appare informato alla massima valorizzazione possibile delle disposizioni a tutela della privacy e dei dati personali.

I poteri delle autorità di controllo
Il primo versante interessato dalla sentenza della Corte è tutt'altro che marginale rispetto all'economia della decisione e investe il margine di intervento di cui le autorità di controllo dispongono a fronte di una decisione della Commissione che, come nella fattispecie, abbia accertato l'adeguatezza del livello di protezione garantito nello stato terzo.
La ricostruzione operata dai giudici appare ineccepibile. Dopo un inquadramento del ruolo delle autorità di controllo, la Corte precisa che tali soggetti rivestono senz'altro un ruolo anche nell'ambito del trasferimento di dati verso paesi terzi.
Infatti, se è vero che i poteri delle autorità si estendono ai trattamenti effettuati nel territorio degli Stati membri (e, per l'effetto, non comprendano i trattamenti svolti in paesi terzi), il trasferimento di dati personali al di fuori dall'Unione europea non sfugge al loro controllo, integrando –lo stesso trasferimento- un trattamento di dati che è effettuato nel territorio di uno Stato membro.
Ne deriva che tali autorità di controllo hanno il potere di vigilare sul rispetto delle disposizioni adottate dagli Stati membri ai sensi della direttiva nell'ambito del trasferimento di dati verso paesi terzi.
Un siffatto potere di controllo, secondo la Corte, spetta tanto agli Stati membri quanto alla Commissione, e infatti a tal fine l'art. 25 della direttiva istituisce un procedimento che consente a quest'ultimo organo di adottare una decisione al fine di dichiarare l'adeguatezza del livello di protezione assicurato dallo stato di destinazione interessato.
Due ordini di considerazioni scaturiscono in proposito.
Da un lato, senz'altro finché una simile decisione non sia invalidata dalla Corte di giustizia, gli Stati membri e le rispettive autorità non possono adottare atti in senso contrario, che presuppongano l'inidoneità delle tutele offerte da un preciso stato terzo.
Dall'altro lato, però, osserva la Corte, una decisione della Commissione non può privare gli interessati i cui dati personali siano trasferiti verso uno stato terzo di rivolgersi all'autorità di controllo di uno Stato membro per tutelare i propri diritti. Nessuna preclusione si evince in tal senso né dalla Carta né dalla direttiva: anzi, ove prevista, essa risulterebbe contraria allo spirito della disciplina europea in tema di dati personali e di ostacolo all'effettivo esercizio dei diritti fondamentali in gioco. Il tutto mantenendo fermo il principio per cui il potere di annullare una decisione o di revocarla resta nelle mani delle competenti istituzioni dell'Unione europea.
Da ciò consegue che, nel caso in cui un interessato prospetti all'autorità di controllo di uno Stato membro un dubbio sull'adeguatezza delle disposizioni di uno stato terzo come gli Stati Uniti, laddove tale autorità condivida tale valutazione non potrà che adire, mediante un rinvio pregiudiziale, la Corte di giustizia, unico soggetto competente a sindacare l'atto (nella fattispecie la decisione 2000/520) che ha accertato l'adeguatezza del livello di tutela nel paese terzo.

L'invalidità della decisione 2000/520
A questo punto la Corte di giustizia giunge al cuore del problema: la verifica circa l'effettiva adeguatezza della protezione garantita negli Stati Uniti.
L'importanza del tema nasce ancora una volta dalla diversità di approccio nel bilanciamento tra interessi contrapposti che coinvolge la privacy e la tutela dei dati personali. A fondare le preoccupazioni del ricorrente nel procedimento principale, infatti, era principalmente l'atteggiamento statunitense rispetto all'utilizzo di dati per finalità di tutela dell'ordine pubblico e prevenzione del terrorismo. Una linea di confine difficile da tracciare, ma che segue senz'altro confini molto diversi in Europa e in America.
La Corte di giustizia muove, in quest'indagine, dal rilievo per cui la direttiva non richiede agli stati terzi un livello identico a quello previsto dalla direttiva, ma almeno adeguato, di tutela dei dati personali. Deve trattarsi, quindi, di una tutela equivalente, di modo che le garanzie previste dalla direttiva non possano essere eluse tramite l'espediente del ricorso al trasferimento di dati fuori dall'Unione europea.
Compito della Commissione, pertanto, è quello di analizzare se le disposizioni di diritto interno e gli impegni assunti sul piano internazionale dallo stato terzo interessato consentano di configurare un grado di protezione adeguato: in ciò, osserva la Corte, la Commissione dispone di un margine di discrezione valutativa ridotto, venendo in questione il diritto alla vita privata di un numero molto ampio di interessati. Si tratta di un'indicazione importante che segnala la direzione in cui il ragionamento della Corte sembra volersi spingere.
Alla luce di queste osservazioni, la Corte considera le disposizioni centrali nella decisione 2000/520, portando a compimento una vera e propria opera demolitoria dei pilastri per il trasferimento di dati dall'Europa verso gli Stati Uniti.
In primo luogo, la Corte si concentra sull'art. 1, focalizzandosi sul meccanismo che ritiene soddisfatti i Safe Harbor Privacy Principles, e così assicurato un adeguato livello di protezione, nel caso di imprese che autocertifichino la propria adesione ai suddetti principi. Tale previsione non opera, invece, per le autorità pubbliche, che dunque ne restano escluse.
Secondo la Corte, se è vero che sistema non è di per sé contrario al requisito dell'adeguatezza della protezione, il suo funzionamento si basa comunque su idonei meccanismi che consentano di rilevare la violazione di norme a tutela dei diritti alla riservatezza alla tutela dei dati personali.
Inoltre, la decisione si limita a evocare la necessità che sia assicurata una tutela adeguata ed equivalente in base al meccanismo del safe harbor, senza però analizzare nel dettaglio le misure adottate a tale scopo per il tramite di disposizioni di diritto interno o impegni sul piano internazionale.
In aggiunta, precisa la Corte, la decisione specifica che l'applicazione del safe harbor può comunque conoscere dei limiti, per esempio, laddove sia necessario a tutelare la sicurezza nazionale o l'ordine pubblico, ovvero sulla base di leggi, regolamenti o decisioni giurisprudenziali che muniscano di tutela interessi contrapposti. Questo significa, concretamente, affermare la prevalenza della sicurezza nazionale o dell'interesse pubblico sui principi del safe harbor: prevalenza in nome della quale, osservano i giudici del Lussemburgo, le imprese che ricevono dati personali da Stati membri sono tenute a disapplicare i principi del safe harbor nella misura in cui confliggano o siano incompatibili con tali interessi.
In questo scenario, si viene a determinare un chiaro sacrificio dei diritti fondamentali tutelati dagli artt. 7 e 8 della Carta. Il tutto senza che la Commissione, nella propria decisione, abbia indicato sull'esistenza di limiti a tali interferenze o di strumenti di tutela contro le stesse.
La Corte di giustizia, nel valutare l'equivalenza della tutela prevista nel paese terzo coinvolto rispetto allo scenario europeo, ravvisa l'assenza di uno strumentario legislativo necessario a evitare che sia compromesso il contenuto essenziale dei diritti in gioco. Queste carenze non riguardano soltanto la previsione di criteri di bilanciamento che riducano al minimo il sacrificio della tutela dei dati personali, ma anche di meccanismi che consentano una tutela giurisdizionale.
Ecco perché la decisione 2000/520, agli occhi della Corte di giustizia, deve essere annullata.

Considerazioni conclusive
La pronuncia della Corte di giustizia è destinata a sollevare, proprio nei mesi in cui la decisione sulla valutazione di idoneità della tutela prevista nell'ordinamento statunitense era avviata a una fase di discussione, un ampio dibattito sulle conseguenze cui essa apre e che si prospettano di qui alle prossime settimane.
Si tratta di una presa di posizione che non può essere immune da riflessi politici. È difficile apprezzare quanto una pronuncia così importante possa essere stata influenzata, per esempio, dallo scandalo NSA, che si innesta proprio alle origini delle preoccupazioni del ricorrente nel procedimento principale. Così, rimane difficilmente misurabile il grado in cui la sentenza costituisce una reazione a un atteggiamento di comprovato sfavore rispetto alla tutela dei dati personali emerso Oltreoceano, nei tempi più recenti.
Sarebbe probabilmente sbagliato immaginare a una presa di posizione eminentemente politica; sarebbe del pari non corretto trascurare la valenza di tali profili.
Rimane in ogni caso una pronuncia di grande impatto che consegna sì all'attualità una problematica tutt'altro che agevole, in un'epoca in cui il trasferimento di dati verso i confini extra-UE ha assunto mole e rapidità inedite; ma che al contempo sembra confermare un trend di forte riaffermazione della privacy, di cui già si erano intraviste le prime tappe lo scorso anno, accompagnato da un recupero della dimensione europea dei valori in gioco che passa attraverso il ruolo delle autorità di controllo. Sulle cui spalle pesa però, ora, il compito di dare risposte che sappiano conciliare la legittima tutela dei dati personali (valore meritoriamente riaffermato dalla Corte) con gli altri interessi che quotidianamente, pur senza direttamente scontrarsi, con essa si fronteggiano, prima fra tutte la libertà di condurre impresa.

Vetrina