The present essay deals with the international and European perspectives of privacy and personal data protection following the Schrems judgment issued by the EU Court of Justice. In this judgment, the Court declared invalid the Safe Harbor system, on the ground that it was not in compliance with the primary and secondary EU law concerning the right to privacy and the right to data protection. In the first part of the article, the main principles of law affirmed in the decision at issue are examined, by also highlighting the importance of the role played by Luxembourg judges in order to ensure the effective safeguarding of the legal situations under discussion. The second part of the paper is devoted to the analysis of the international and European perspectives of the protection of personal information after Schrems judgment. First, they are examined the short and long-term solutions allowing the realization of data transfers from European Union to the United States. Second, attention is paid to the effects produced by Schrems decision at EU level, through the examination of the new EU data protection reform package. Finally, the consequences of such decision at international level are considered. In the conclusions, it is underlined the necessity to improve the regulation of data transfers from European Union to the United States.
I. Introduzione e piano dell’indagine. - II. Il sistema di Safe Harbour: il meccanismo di autoregolamentazione delle società e delle organizzazioni statunitensi (adesione ai principi dell’approdo sicuro ed autocertificazione). - III. La sentenza Schrems: i fatti all’origine della causa e la soluzione adottata dalla Corte di giustizia. - IV. La Corte di giustizia UE quale custode della tutela della privacy e dei dati personali in Europa in contrapposizione al regime statunitense di protezione dei dati. - V. Le prospettive internazionali ed europee della tutela dei dati personali dopo la sentenza Schrems. - VI. Le soluzioni di breve periodo nel trasferimento dei dati personali tra gli Stati Uniti e l’Unione europea. - VII. Le soluzioni di lungo periodo predisposte dopo la sentenza Schrems: l’EU-U.S. Privacy Shield e l’Umbrella Agreement. - VIII. La salvaguardia delle informazioni di carattere personale a livello europeo: il pacchetto di riforma della protezione dei dati, in particolare il Regolamento 2016/679. - IX. Gli effetti della decisione Schrems sul piano internazionale. - X. Conclusioni e prospettive in relazione alla problematica (ancora da risolvere) del trasferimento dei dati tra USA e UE. - NOTE
Oggetto del presente contributo è l’esame delle prospettive internazionali ed europee della protezione della privacy e dei dati personali a seguito della sentenza resa dalla Corte di giustizia UE nel caso Schrems. Questa pronuncia è particolarmente importante, essendo pervenuta a dichiarare invalido il sistema di Safe Harbour – ovvero, il sistema di regolamentazione del trasferimento e dello scambio delle informazioni di carattere personale tra l’Unione europea e gli Stati Uniti –, in quanto non compatibile con la normativa UE, primaria e secondaria, concernente la tutela del diritto alla privacy e del diritto alla protezione dei dati personali. Nella prima parte dello scritto, dopo l’analisi del funzionamento del sistema dell’approdo sicuro, vengono esaminati i principali punti di diritto affermati nella sentenza de qua, riguardanti, in particolare, la portata dei poteri delle autorità nazionali di controllo delle informazioni personali relativamente al flusso dei dati dall’Unione europea agli Stati terzi e l’incompatibilità della sorveglianza massiva delle informazioni personali, disposta dalla normativa USA, con i principi UE sulla tutela della privacy. In tale contesto, viene messa in luce l’importanza del ruolo svolto dai giudici di Lussemburgo, al fine di assicurare un’efficace tutela alle situazioni giuridiche in discussione [1]. La seconda parte del contributo è dedicata all’approfondimento delle prospettive internazionali ed europee della protezione delle informazioni personali dopo la sentenza Schrems. Innanzitutto, vengono esaminate le soluzioni di breve e di lungo periodo, atte a consentire la realizzazione del trasferimento dei dati dall’Unione europea agli Stati Uniti. Con riguardo alle soluzioni di lungo periodo, vengono analizzati criticamente gli strumenti giuridici adottati dall’UE e dagli USA successivamente a siffatta sentenza, ovvero l’EU-U.S. Privacy Shield e l’Umbrella Agreement. Successivamente, viene prestata attenzione agli effetti prodotti dalla sentenza Schrems in ambito europeo, attraverso l’esame del nuovo pacchetto UE di riforma della tutela delle informazioni personali. Inoltre, vengono approfondite le possibili conseguenze di questa pronuncia sul piano internazionale. Ci si chiede, in particolare, [continua ..]
Il sistema di Safe Harbour – o “approdo sicuro” – ha costituito un meccanismo inteso, da un lato, a favorire e potenziare le attività commerciali – e, di conseguenza, lo scambio di informazioni di carattere personale – tra le due sponde dell’Atlantico, e, dall’altro, a tutelare dette informazioni, anche e soprattutto a fronte delle evidenti differenze strutturali esistenti tra USA e UE in materia di tutela della privacy e dei dati personali [4]. Esso è stato predisposto con la Decisione della Commissione 2000/520 [5], adottata in base all’art. 25, par. 6, direttiva 95/46/CE (in prosieguo anche: “Direttiva dati”), che prevede la possibilità che i dati personali possano essere trasferiti dall’Unione europea ad un Paese terzo, sempre che quest’ultimo garantisca un adeguato livello di protezione degli stessi, così come accertato dalla stessa Commissione alla luce di una serie di elementi [6]. Tale sistema si è fondato su un meccanismo di autoregolamentazione, che contemplava anzitutto un’adesione volontaria, da parte di organizzazioni o società statunitensi, ai principi dell’“approdo sicuro” [7] ed alle relative FAQ in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti nel 2000. Esso prevedeva inoltre un’autocertificazione dell’adesione a detto Dipartimento da parte delle stesse società. In base alla Decisione 2000/520, i principi dell’approdo sicuro erano considerati in grado di assicurare un adeguato livello di protezione dei dati personali e, di conseguenza, l’adesione a questi principi era tale, di per sé, da garantire l’osservanza delle disposizioni della “Direttiva dati”. La concreta attuazione del regime è stata affidata a due organi dell’amministrazione statunitense: il Dipartimento del Commercio, avente il compito di analizzare tutte le autocertificazioni ed i relativi rinnovi, al fine di accertare che le imprese aderenti soddisfacessero tutte le condizioni richieste dal sistema “approdo sicuro”; la Commissione federale per il Commercio, che, nell’ambito delle sue competenze in materia di tutela dei consumatori, è stata investita sia del potere di intervenire contro le pratiche sleali o ingannevoli ai sensi [continua ..]
La sentenza Schrems trae origine da una richiesta di pronuncia pregiudiziale sollevata nell’ambito di una controversia tra un cittadino austriaco, il signor Schrems, e il Commissario irlandese per la protezione dei dati, a fronte del rifiuto di quest’ultimo di decidere sul ricorso del primo, teso a contestare il trasferimento dei propri dati personali, da parte di Facebook-Irlanda, negli Stati Uniti d’America, soprattutto a causa del caso Datagate, che ha portato alla rivelazione, nel 2013, dell’esistenza di un programma di sorveglianza massiva delle telecomunicazioni, denominato PRISM [12]. Il Commissario, in particolare, si era dichiarato incompetente a pronunciarsi in merito alla richiesta del ricorrente, in quanto riteneva di non essere legittimato a sindacare la determinazione effettuata dalla Commissione nella Decisione 2000/520, secondo cui gli Stati Uniti garantivano un adeguato livello di protezione dei dati. Nutrendo dubbi sulla idoneità della normativa USA a tutelare la privacy e i dati personali, e alla luce della presunta incompatibilità della decisione de qua con gli artt. 7 e 8 della Carta dei diritti fondamentali UE, l’High Court irlandese aveva sospeso il procedimento, sottoponendo ai giudici di Lussemburgo un duplice quesito, concernente: a) l’ambito dei poteri delle autorità nazionali indipendenti di controllo dei dati, istituite ex art. 28, “Direttiva dati”, in rapporto, segnatamente, ad una decisione della Commissione adottata in base all’art. 25, par. 6, della direttiva stessa; b) la validità del sistema di Safe Harbour nel suo complesso. In relazione alla prima questione, la Corte sottolinea che le autorità nazionali di controllo dei dati – e cioè le autorità competenti che monitorano l’attuazione delle disposizioni della “Direttiva dati” negli Stati membri – dispongono di una serie di importanti poteri, in particolare: poteri investigativi (raccogliere qualsiasi informazione necessaria all’esercizio della loro funzione di controllo), poteri effettivi d’intervento (vietare, a titolo provvisorio o definitivo, un trattamento di dati) e poteri di promuovere azioni giudiziarie [13]. A questo proposito, viene poi precisato l’ambito di applicazione dell’art. 28, che è tale [continua ..]
Nella sentenza Schrems la Corte di giustizia UE, in linea con un proprio emergente filone giurisprudenziale, teso a tutelare adeguatamente la privacy e i dati personali [27], e nel contesto di un settore, quale quello del trasferimento delle informazioni personali dall’Unione europea agli Stati terzi (e degli Stati Uniti in particolare), sul quale non aveva avuto ancora la possibilità di pronunciarsi, offre una interpretazione della “Direttiva dati”, informata all’effettiva tutela di dette situazioni giuridiche, in omaggio alle pertinenti disposizioni della Carta di Nizza e ai principi generali di diritto UE. Questa sentenza può essere giudicata favorevolmente, in quanto contribuisce all’articolazione dei poteri tra le autorità pubbliche, nazionali ed europee, nel contesto della attuazione delle previsioni contenute nella “Direttiva dati”. In effetti, escludendo il monopolio esclusivo della Commissione europea in relazione alla valutazione della adeguatezza del livello di protezione dei dati offerto dal Paese terzo, e riconoscendo, peraltro, in tale ambito, un importante potere discrezionale alle autorità di controllo, la Corte pretende che detta valutazione sia realmente obbiettiva, allo scopo di offrire una tutela effettiva agli individui i cui dati siano trasferiti dall’Unione europea ad uno Stato non membro (non solo sul piano sostanziale ma anche sul piano processuale). Ciò è quanto discende, in particolare, dall’obbligo che incombe sulle suddette autorità di svolgere le loro funzioni in maniera, per l’appunto, obiettiva ed imparziale [28], sottraendosi a qualsiasi forma di influenza esterna, a partire dall’influenza diretta o indiretta dello Stato che ha provveduto alla loro istituzione [29]. La garanzia di indipendenza delle autorità di controllo costituisce un elemento portante della struttura della “Direttiva dati”, se si considera quanto affermato dalla Corte in relazione alla incapacità della Commissione, in base all’art. 25, par. 6, di limitare i poteri delle autorità stesse [30]. Più esattamente, l’innovatività di questo dictum risiede non tanto e non solo nella enunciazione dei poteri conferiti alle autorità di controllo dei dati (poteri investigativi e poteri d’intervento) [continua ..]
Pare ora opportuno analizzare le conseguenze derivanti dall’adozione della decisione Schrems, contestualmente all’analisi dello stato dell’arte della tutela delle informazioni di carattere personale, a livello europeo ed internazionale. Va preliminarmente messo in rilievo che nel breve periodo la decisione stessa può comportare una particolare incertezza giuridica, soprattutto con riferimento all’individuazione della normativa applicabile al trasferimento dei dati dall’Unione europea, non solo verso gli Stati Uniti, ma anche verso i Paesi terzi in generale. Quanto agli effetti connessi al caso di specie, il Commissario irlandese è tenuto ad esaminare il ricorso del sig. Schrems e decidere, al termine dell’indagine, se la trasmissione dei dati operata da Facebook Ireland verso gli USA vada sospesa, alla luce dell’inidoneità dell’ordinamento giuridico statunitense a salvaguardare la privacy individuale [38]. Per quanto concerne gli effetti generali della sentenza, va innanzitutto sottolineato che la stessa ha determinato l’impossibilità di identificare il sistema di Safe Harbour quale fondamento giuridico idoneo a legittimare il flusso delle informazioni personali dall’Unione europea agli Stati Uniti [39]. A ciò si aggiunga che l’annullamento della Decisione 2000/520, sancito dalla Corte UE, non potrà non produrre importanti conseguenze con riferimento alle numerose decisioni di adeguatezza che, nel corso degli anni, la Commissione europea ha adottato relativamente ad altri Paesi terzi, garantendo così la trasmissione dei dati personali dall’Unione europea verso siffatti Paesi [40]. Dette decisioni sono state predisposte sulla falsariga del modello di Safe Harbour e contengono, ciascuna di esse, una disposizione sulla limitazione dei poteri delle autorità di protezione dei dati identica all’art. 3 della decisione “approdo sicuro” [41]. Di conseguenza, appare inevitabile che la Commissione modifichi, quanto prima, tutte le esistenti decisioni di adeguatezza, compatibilmente con la nuova architettura disegnata dai giudici di Lussemburgo – con riguardo, in particolare, alla portata delle competenze delle autorità garanti nazionali –, ed alla luce dei nuovi parametri elaborati [continua ..]
La decisione Schrems si è limitata a dichiarare l’invalidità del sistema di Safe Harbour, senza tuttavia imporre un divieto assoluto di trasferimento dei dati dall’Unione europea agli Stati Uniti [42]. Di conseguenza, essa implica l’individuazione di soluzioni alternative a detto sistema, di breve e di lungo periodo, che siano tese ad assicurare la trasmissione transatlantica delle informazioni personali conformemente ai principi europei di protezione dei dati [43]. Per ciò che inerisce alle prospettive di breve periodo, va detto che il diritto UE consente il trasferimento dei dati personali verso un Paese terzo, anche in assenza di una decisione sull’adeguatezza, prevedendo una serie di soluzioni alternative: il consenso dell’interessato, le norme vincolanti d’impresa (Binding Corporate Rules) e le clausole contrattuali standard (Standard Contractual Clauses) [44]. Quanto alla prima opzione, il trasferimento verso un Paese terzo è ammissibile laddove la persona interessata vi abbia esplicitamente ed in maniera inequivocabile acconsentito, dopo essere stata adeguatamente informata dei possibili rischi ad esso connessi. Detta opzione, tuttavia, reca con sé particolari incognite. Da un canto, il fatto che, allo stato, non vi sia un’idonea conoscenza circa la portata dei poteri delle agenzie di intelligence USA in base alla normativa americana – non sono chiare, in particolare, le condizioni di limitazione della protezione dei dati per finalità di sicurezza pubblica sancite da siffatta normativa –, rende, nella gran parte dei casi, impraticabile la strada del consenso dell’interessato, che, per essere libero e consapevole, deve basarsi su un’adeguata informativa [45]. Dall’altro, la possibilità che il consenso possa essere revocato, non solo pone problemi circa i limiti di tale atto – potendo lo stesso concretizzarsi in una rinuncia a diritti irrinunciabili [46] –, ma determina anche una situazione di insostenibilità economica e di incertezza giuridica per le imprese che abbiano operato la trasmissione di dati alla luce dell’originario consenso [47]. Le Binding Corporate Rules sono, invece, regole che le imprese multinazionali adottano al proprio interno, che, vincolando tutte le società appartenenti al [continua ..]
Dalla scoperta del caso Datagate, nel 2013, fino ad oggi, gli Stati Uniti, anche per riacquisire una credibilità internazionale, hanno avviato un processo di riforma normativa, volto a riconoscere l’importanza della privacy individuale all’interno ed al di fuori dell’ordinamento giuridico americano, che si è concretato, in particolare, nell’adozione di vari atti: la Presidential Policy Directive 28, l’USA Freedom Act e il Judicial Redress Act [55]. Tra l’altro, l’UE e gli USA hanno risposto alla decisione Schrems, predisponendo due strumenti giuridici: l’EU-U.S. Privacy Shield e l’Umbrella Agreement. Nel luglio 2016 la Commissione ha adottato lo scudo UE-USA per la privacy, il quale, costituito da una serie di documenti [56], si pone l’obiettivo di sostituire il vecchio sistema di Safe Harbour, dichiarato invalido dalla Corte UE [57], e, quindi, di costituire la nuova base giuridica per garantire il libero trasferimento dei dati personali dall’Unione europea agli Stati Uniti. Il nuovo regime – basato sull’autocertificazione, da parte di società americane registrate in un apposito elenco, secondo cui le proprie politiche sono in linea con i parametri fissati dal regime stesso – [58] si articola su quattro linee fondamentali [59]. In primo luogo, il sistema si fonda sulla previsione di dettagliati obblighi a carico delle società statunitensi [60], le quali, tra l’altro, da un lato, sono soggette ad una serie di controlli e, dall’altro, sono destinatarie di sanzioni, in caso di inosservanza del sistema stesso (ivi compresa l’esclusione dal regime) [61]. In secondo luogo, l’EU-U.S. Privacy Shield impone al governo statunitense di fornire garanzie e di assolvere ad obblighi di trasparenza, relativamente all’accesso ai dati personali, attraverso in particolare: la rassicurazione scritta, da parte del Direttore dell’intelligence USA, che l’accesso realizzato dalle autorità pubbliche statunitensi sia supportato da adeguate tutele e non sia indiscriminato [62]; l’istituzione della figura del mediatore (Ombudsperson) all’interno del Dipartimento di Stato, competente a ricevere reclami da parte dei cittadini UE (ed a fornire loro informazioni) [continua ..]
Gli effetti della decisione Schrems non si sono prodotti con riferimento al solo sistema di trasmissione transatlantica dei dati, ma si sono estesi anche al regime UE di protezione delle informazioni personali. Infatti, con questa sentenza – tra l’altro preceduta da due pronunce concernenti, anch’esse, l’interpretazione della direttiva 95/46 [80] – la Corte di Lussemburgo non solo ha velocizzato l’adozione del pacchetto europeo di riforma della tutela dei dati presentato dalla Commissione nel 2012, ma ha anche inciso, nel merito, sulla disciplina contenuta nello stesso. Detto pacchetto si compone di un Regolamento, inteso a sostituire la “Direttiva dati” [81], e da una direttiva concernente il trattamento delle informazioni personali nell’ambito della cooperazione di polizia e giudiziaria, volta, invece, a sostituire la Decisione quadro 2008/977 [82]. L’esigenza di predisporre una nuova normativa UE sulla protezione dei dati nasce dalla constatazione dell’incapacità della direttiva 95/46, a seguito dello sviluppo massiccio delle tecnologie e dell’evoluzione delle misure antiterrorismo, di garantire un’effettiva omogeneità legislativa tra gli ordinamenti giuridici nazionali nonché un’adeguata salvaguardia della privacy individuale [83]. L’apprezzabile scelta dell’adozione del Regolamento – atto di portata generale direttamente applicabile in tutti i suoi elementi all’interno dell’Unione europea – risiede proprio nella necessità di evitare le problematiche emerse in passato e, quindi, di conseguire un’armonizzazione normativa concernente il trattamento delle informazioni personali all’interno dell’Unione; armonizzazione, questa, importante anche al fine di perseguire il buon funzionamento del mercato unico europeo (ivi compreso il mercato unico digitale) [84]. Nell’aprile 2016 è stato approvato il testo del Regolamento 2016/679, che risulta essere espressione di un rivoluzionario passo in avanti dell’Unione europea verso un’efficace protezione delle informazioni di natura personale. In linee generali, può dirsi che siffatto Regolamento, entrato in vigore nel maggio 2016, si basa su una serie di linee guida, segnatamente: il miglioramento [continua ..]
È ora opportuno chiedersi se la decisione Schrems sia in grado di produrre effetti, non solo a livello europeo e nell’ambito degli specifici rapporti tra UE e USA, ma anche sul piano internazionale. Prima di tutto, va qui accennato al fatto gli strumenti internazionali risultano, allo stato, particolarmente frammentari ed inadeguati a proteggere la privacy e i dati personali. Ciò vale tanto per i pertinenti atti di soft law [98] quanto per le convenzioni in materia di diritti umani, universali e regionali, che solo incidentalmente ed in maniera poco efficace regolamentano le situazioni giuridiche de quibus [99]. L’unica convenzione internazionale che specificamente si occupa della tutela delle informazioni personali è la Convenzione 108, predisposta nel 1981 in seno al Consiglio d’Europea ed aperta anche all’adesione di Stati terzi [100]. Da un canto, questo trattato è molto importante perché ha delineato per la prima volta un vero e proprio diritto individuale alla vita privata con riferimento al trattamento automatizzato dei dati personali, enunciando garanzie, delineando principi guida ed indirizzando l’attività legislativa degli Stati europei nella disciplina della materia in esame. Dall’altro, tuttavia, esso non solo non ha contribuito ad una reale armonizzazione legislativa tra gli Stati aderenti [101], ma è soprattutto obsoleto, essendo stato adottato prima delle evoluzioni tecnologiche degli ultimi 30 anni. Ciononostante, la protezione della privacy e dei dati personali è oggetto di particolare interesse nei principali fora internazionali, soprattutto dopo il caso Datagate, come risulta dall’adozione della risoluzione sulla tutela della privacy nell’era digitale da parte dell’Assemblea Generale nel 2013 [102] nonché dalla istituzione dello Special Rapporteur sul diritto alla privacy da parte del Consiglio dei diritti umani dell’ONU nel 2015. La Corte di giustizia nel caso Schrems ha svolto un’importante funzione di natura politica, sopperendo all’inerzia delle istituzioni europee nella disciplina della trasmissione dei dati tra UE e USA – le quali hanno spesso mostrato una particolare deferenza nei confronti degli Stati Uniti in questa materia [103] –, e rivendicando un ruolo primario [continua ..]
Nel presente contributo è stata prestata particolare attenzione alla sentenza Schrems ed alle conseguenze da essa derivanti, all’interno ed al di fuori dell’Unione europea. Si tratta di una pronuncia storica, che può rappresentare un importante spartiacque verso un nuovo modello, sia internazionale sia europeo, di protezione dei dati, effettivo ed adeguato. Fermo restando ciò, rimane, peraltro, un importante nodo da sciogliere (e da risolvere), quello, cioè, del trasferimento delle informazioni personali dall’UE agli USA, non ancora disciplinato in maniera idonea dai nuovi strumenti giuridici adottati successivamente alla decisione Schrems. Come si è visto, tanto l’EU-U.S. Privacy Shield quanto l’Umbrella Agreement non sono, allo stato, in grado di garantire un livello di equivalenza della protezione dei dati tra il sistema europeo e l’ordinamento giuridico americano e non si pongono sulla stessa linea tracciata dal pacchetto UE di riforma della tutela delle informazioni personali. C’è il rischio concreto, quindi, che gli importanti passi in avanti fatti nonché il coraggio mostrato dalla Corte di Lussemburgo nella decisione de qua vengano, almeno con riguardo ai rapporti USA-UE, vanificati da scelte di opportunità politica, dettate, inoltre, dall’ancora esistente subordinazione delle istituzioni europee verso gli USA in questo particolare settore. Da qui l’esigenza che gli Stati Uniti avviino un ulteriore processo di riforma dei pertinenti strumenti giuridici nazionali. Nello specifico, è necessario che lo scudo UE-USA per la privacy e l’Umbrella Agreement siano modificati in alcune parti, in linea, tra l’altro, con le evoluzioni contenute nel pacchetto di riforma UE sulla tutela dei dati. Quanto all’EU-U.S. Privacy Shield, occorre che esso definisca in maniera chiara e dettagliata alcuni principi cardine del trasferimento dei dati personali tra le due sponde dell’Atlantico, segnatamente il principio della limitazione della finalità e quello della limitazione della conservazione; si fondi, inoltre, su una valutazione complessiva del livello di adeguatezza della protezione della privacy garantito dall’ordinamento giuridico USA, da realizzarsi sulla base degli elementi indicati nel Regolamento 2016/679; [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
EISSN 2465-2474 / ISSN 1125-8551 - Il Diritto dell'Unione Europea (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
