Vicenda storica
Tutto nasce nel 2013, anno in cui lo studente Maximilian Schrems, attivista austriaco per la tutela della privacy, ha presentato all’autorità irlandese di controllo una denuncia contro il trasferimento dei dati personali da Facebook agli Stati Uniti. In sostanza chiedeva di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dall’Unione verso gli Stati Uniti, che Facebook Ireland effettua sul fondamento delle clausole tipo di protezione contenute nell’allegato della decisione 2010/87.
Decisione della Corte di Giustizia dell’Unione europea
Con la sentenza nella causa C-311/18 (c.d. Schrems II), la Corte di giustizia, a seguito della domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda), ha statuito:
- la validità della decisione 2010/87 relativa alle clausole contrattuali tipo per il trasferimento di dati personali;
- l’invalidità della decisione 2016/1250 della Commissione UE sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.
Sul primo punto “la Corte constata che, dall’esame della decisione alla luce della Carta dei diritti fondamentali (in appresso “la Carta”), non è emerso alcun elemento idoneo ad inficiarne la validità”. Secondo la Corte, la validità della decisione 2010/87 non è rimessa in discussione dal solo fatto che le clausole tipo di protezione dei dati (visto il carattere contrattuale) non possono vincolare le autorità del Paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati.
Il Collegio Giudicante afferma però che i dati personali trasferiti verso un Paese terzo (utilizzando le clausole tipo di protezione dei dati) devono godere di un livello di protezione equivalente a quello dell’Unione.
Obblighi dell’Autorità di Controllo
I Giudici evidenziano che le Autorità di Controllo, in assenza di una decisione di adeguatezza adottata dalla Commissione, sono tenute a sospendere o vietare un trasferimento di dati personali se ritengono:
- che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese;
- che la protezione dei dati trasferiti, richiesta dal diritto dell’Unione, non possa essere garantita con altri mezzi;
Obblighi dell’esportatore e del destinatario
La Corte accerta che la decisione 2010/87 stabilisce i seguenti obblighi:
- obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo;
- il destinatario deve informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.
In merito al secondo punto la Corte dichiara invalida la decisione 2016/1250 – Scudo UE-USA per la privacy per due motivi:
- incompatibilità del diritto interno degli Stati Uniti con quella dell’Unione Europea in merito alla tutela del dato personale (ad es. programmi di sorveglianza che non si limitano a quanto strettamente necessario);
- Carenze in merito alla tutela giurisdizionale in quanto: “il meccanismo di mediazione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi.
La decisione della Corte comporta un impatto negativo sui trasferimenti di dati personali visto che maggior parte delle società utilizzano questi meccanismi per disciplinare il flusso dei dati personali fuori dall’Unione.
