Safe Harbour e dati personali: la situazione negli Stati Uniti

L’art. 25, par. 6 della direttiva 96/46/CE, letto alla luce degli artt. 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione Europea, deve essere interpretato nel senso che l’adozione della relativa decisione ad opera della Commissione non osta a che un’autorità di controllo di uno Stato membro, ai sensi dell’art. 28 della medesima direttiva, esamini la richiesta di un soggetto in materia di protezione dei dati trasferiti da uno Stato membro ad un Paese terzo ove ritenga che la legge e la prassi in vigore non garantiscano un adeguato livello di protezione. I Giudici di Lussemburgo dichiarano, pertanto, invalida la decisione 2000/520/CE con cui la Commissione riteneva adeguato il livello di protezione dei dati offerto dagli Stati Uniti d’America.

 «Fino a che non diventeranno coscienti del loro potere, non saranno mai capaci di ribellarsi, e fino a che non si saranno liberati, non diventeranno mai coscienti del loro potere.» (George Orwell, 1984)

I segreti rivelati da Edward Snowden hanno generato un effetto domino imponente, di cui la recente sentenza della Corte di Giustizia dell’Unione Europea (G.C., 06.10.2015, C-362/14) rappresenta solo un singolo tassello. La storia è piuttosto semplice. Alla fine del 2012 l’ex informatico della CIA iniziava a consegnare alla stampa numerosi documenti top secret raccolti durante la propria attività svolta per la National Security Agency (cd. NSA). Lo scoop era servito, l’inchiesta anche. Il 6 giugno 2013 The Washington Post ed The Guardian svelavano al mondo lo scandalo passato alla storia con il nome di “Datagate“, presagio di un mondo tremendamente orwelliano.

L’approdo sicuro (cd. “Safe Harbour“) non lo era poi così tanto, evidentemente. Se ne accorgeva anche la Commissione Europea che a tal proposito proponeva agli Stati Uniti tredici raccomandazioni utili a migliorare il funzionamento del regime d’approdo.

Con particolare riguardo all’accesso da parte delle Autorità statunitensi ai dati trasferiti, la Commissione raccomandava: «Le politiche sulla privacy di imprese autocertificate dovrebbero includere informazioni sulla misura in cui la legge statunitense consente alle autorità pubbliche di raccogliere ed elaborare i dati trasferiti con l’accordo di Safe Harbour. Le imprese dovrebbero indicare nelle loro politiche sulla privacy in quali casi vengono applicate delle eccezioni per questioni di sicurezza nazionale, interesse pubblico o esigenze derivanti dall’applicazione della legge statunitense. È importante che si faccia ricorso all’eccezione per la salvaguardia della sicurezza nazionale solo in misura strettamente necessaria e proporzionata». La Commissione è stata, dunque, in qualche modo costretta a rivalutare l’idoneità di tale accordo, ed ancor più del proprio giudizio di adeguatezza del livello di protezione dei dati offerto dalla legislazione statunitense.

La vera svolta, però, è arrivata nel 2015 dalla Corte di Giustizia dell’Unione Europea che con la sentenza del 6 ottobre 2015 nella causa C-362/14 ha dichiarato invalida la Decisione del 26 luglio 2010 (cfr. 2000/520/CE), adottata dalla Commissione Europea a norma dell’art. 25, par. 6 della Direttiva 95/46/CE, che riteneva adeguate alla legislazione europea le garanzie in materia di protezione dei dati offerte dagli Stati Uniti d’America.

Il caso è noto. Maximilian Schrems, un giovane cittadino austriaco, è iscritto, come milioni di suoi coetanei, a Facebook. Il 25 giugno 2013, a pochi giorni dalle scottanti rivelazioni di Edward Snowden, presentava una denuncia alla competente Autorità irlandese affinché adottasse un provvedimento volto ad impedire il trasferimento dei propri dati personali ai server di Facebook Inc. ubicati negli Stati Uniti. Il giovane austriaco sosteneva, infatti, che la legge e la prassi in vigore in quel paese non garantissero un’adeguata protezione dei dati personali contro le attività di sorveglianza impiegate dalle Autorità pubbliche. Il Commissario, tuttavia, riteneva infondata la denuncia, anche e soprattutto alla luce della decisione 2000/520/CE.

Secondo l’High Court of Justice irlandese investita della causa, invece, la decisione della Commissione non soddisfaceva le esigenze frutto del quadro tracciato dagli artt. 7 e 8 della Carta in combinato con i principi stabiliti dalla Corte di Giustizia nella nota sentenza “Digital Rights Ireland Ltd.”. Continuava, peraltro, la Corte affermando che il diritto al rispetto della vita privata, garantito dall’art. 7 della Carta, sarebbe altrimenti privo di senso se le Autorità statali fossero autorizzate ad accedere alle comunicazioni elettroniche senza una giustificazione obiettiva, ma solo sulla base di presunte esigenze di sicurezza nazionale e senza adeguate e verificabili garanzie.

I Giudici irlandesi sospendevano, dunque, il procedimento per sottoporre la questione alla Corte di Giustizia dell’Unione Europea. Quest’ultima coglieva l’occasione per affermare due importanti principi: uno inerente alla forza vincolante delle decisioni, l’altro all’adeguatezza o meno del livello di protezione dei dati personali offerto dagli Stati Uniti. Chiaro che sotto quest’ultimo aspetto una siffatta decisione incide notevolmente sugli equilibri economici dei due Paesi. Si noti, infatti, che lo scambio di big data è, con ogni probabilità, il commercio ad oggi più redditizio ed il cui incremento (sembra) non volersi arrestare.

Il primo approdo cui la Corte giunge è che l’esistenza di una tale decisione (cfr. 2000/520/CE) non può sopprimere né tantomeno limitare i poteri di controllo riconosciuti alle Autorità nazionali in forza della Carta dei diritti fondamentali dell’Unione Europea e della direttiva 95/46/CE. Un simile provvedimento potrà, pertanto, essere dichiarato invalido soltanto dalla Corte una volta investita del relativo giudizio.

Il secondo principio affermato dai Giudici di Lussemburgo riguarda, invece, il Safe Harbour. Quest’ultimo, infatti, rileva la Corte, è un regime applicabile unicamente alle imprese che decidono di prendervi parte, non anche alle Autorità pubbliche degli Stati Uniti. Ed anzi, il Datagate ha rivelato come, per esigenze connesse alla sicurezza nazionale, le imprese americane, ancorché aderenti al Safe Harbour, siano tenute a disapplicare senza limite alcuno le norme di protezione ordinariamente previste laddove siano da ostacolo alla funzione statale di controllo e prevenzione.

Ingerenze da parte dell’Autorità pubblica statunitense ritenute, dunque, dalla Corte assolutamente eccessive ed in violazione dei limiti al riguardo posti dalla normativa europea.

Alla luce di questa pronuncia, l’Autorità irlandese competente sarà costretta ad esaminare la denuncia inizialmente proposta dal sig. Schrems in modo da decidere se, in forza della direttiva 95/46/CE, sia necessario sospendere il trasferimento dei dati personali degli utenti europei di Facebook verso gli Stati Uniti in quanto non prevedono un adeguato livello di protezione.