In sostanza, il caso riguarda un conflitto di leggi tra le leggi sulla sorveglianza degli Stati Uniti, che richiedono la sorveglianza, e le leggi sulla protezione dei dati dell'UE, che richiedono la privacy.
Dal 2013 è in corso questo caso sulla sorveglianza di massa degli Stati Uniti e sulle aziende dell'UE che vi contribuiscono. È stato sottoposto alla High Court irlandese e alla Corte di giustizia europea (CJEU) per due volte e ha persino fatto una breve visita alla Corte suprema irlandese. La storia di questo caso è per certi aspetti unica.
Il contesto
Il caso riguarda essenzialmente un conflitto di leggi tra le leggi statunitensi sulla sorveglianza, che richiedono la sorveglianza, e le leggi europee sulla protezione dei dati, che richiedono la privacy.
Problema: le leggi sulla sorveglianza degli Stati Uniti
Nel 2013 Edward Snowden ha rivelato pubblicamente che le agenzie di intelligence statunitensi hanno accesso ai dati personali degli utenti europei con l'aiuto di programmi di sorveglianza come PRISM. Questo accesso è stato facilitato da una legge statunitense non nota per consentire una sorveglianza di così ampia portata, chiamata 50 U.S.C. §1881a (o FISA 702). La FISA 702 è stata approvata nel 2008 e ha ampliato in modo sostanziale le opzioni di sorveglianza e accesso ai dati per le autorità statunitensi. Contemporaneamente a questa espansione, i fornitori di servizi di comunicazione elettronica statunitensi (come Apple, Microsoft, Facebook, Google e Yahoo) raccoglievano sempre più dati personali. Tutto ciò, insieme, ha portato a un impatto sempre più negativo sulla privacy degli utenti europei.
In base alla legge FISA 702, i "fornitori di servizi di comunicazione elettronica" statunitensi (secondo la definizione del 50 U.S.C. §1881(4)) possono essere obbligati a fornire alle autorità di sicurezza statunitensi l'accesso ai dati personali di "persone non statunitensi", definite come chiunque non sia cittadino statunitense o residente permanente negli Stati Uniti. Gli ordini di sorveglianza previsti da questa legge non devono essere specifici per un singolo obiettivo, ma consentono un intero programma di sorveglianza a tappeto come PRISM o Upstream. Non è prevista l'approvazione giudiziaria individuale per le persone non statunitensi. La FISA 702 consente anche la sorveglianza per scopi piuttosto ampi, come "informazioni che ... riguardano ... la condotta degli affari esteri degli Stati Uniti"(cfr. 50 U.S.C. §1801(e)).
Esistono anche poteri di sorveglianza degli Stati Uniti basati sul "potere intrinseco del Presidente degli Stati Uniti" e ulteriormente definiti in un ordine esecutivo(EO 12.333), mentre altri elementi sono descritti nella Presidential Policy Directive 28(PPD-28). Entrambi sono ordini interni al ramo esecutivo che non creano alcun dovere o diritto per le entità private, ma consentono la sorveglianza di persone non statunitensi.
I documenti divulgati da Edward Snowden elencano una serie di aziende statunitensi che forniscono dati al governo USA per programmi di sorveglianza come PRISM o Upstream in base a queste disposizioni, tra cui Apple, Microsoft, Facebook, Google e Yahoo.
Reazione: Il GDPR limita i trasferimenti di dati
Le leggi europee sulla privacy (in precedenza la Direttiva 95/46 e ora il GDPR) si basano sul concetto di libera circolazione dei dati personali, ma solo all'interno di un ambito che protegge la privacy degli utenti. Se i dati personali fossero protetti solo all'interno dell'Unione Europea ma potessero essere trasferiti al di fuori della giurisdizione dell'UE senza alcuna restrizione, l'elevato livello di protezione dei dati personali necessario all'interno dell'UE potrebbe essere facilmente compromesso.
Tuttavia, il diritto dell'UE ha sempre previsto eccezioni a questo principio di limitazione dei trasferimenti, come nel caso in cui i dati personali debbano essere necessariamente trasferiti (ad esempio, quando si prenota un servizio all'estero o si invia un'e-mail) o quando un utente acconsente liberamente al trasferimento. Queste deroghe per i trasferimenti non strutturali sono attualmente codificate nell'articolo 49 del GDPR.
Inoltre, il diritto dell'UE riconosce che ci possono essere situazioni in cui le aziende extra-UE forniscono un livello equivalente di protezione dei dati personali. In alcuni Paesi il diritto nazionale è simile a quello dell'UE (ad esempio Svizzera, Israele, Canada o Giappone), mentre in altri Paesi le aziende possono impegnarsi volontariamente a rispettare i principi dell'UE sottoscrivendo accordi di diritto civile, come le clausole contrattuali standard (SCC), le norme vincolanti d'impresa o lo scudo UE-USA per la privacy. Queste ultime basi giuridiche si trovano negli articoli da 46 a 48 del GDPR e sono in gran parte utilizzate per situazioni meglio descritte come "esternalizzazione" del trattamento dei dati personali da parte delle aziende in Paesi non appartenenti all'UE.
Poiché gli Stati Uniti non dispongono di una legge omnibus o federale sulla privacy, le aziende statunitensi devono affidarsi a una delle opzioni contrattuali di cui agli articoli da 46 a 48 del GDPR per l'esternalizzazione. Tuttavia, per le aziende che rientrano nel campo di applicazione delle leggi sulla sorveglianza degli Stati Uniti, l'utilizzo di queste opzioni contrattuali è impossibile nella pratica, poiché la legge statunitense impone loro di infrangere gli obblighi previsti dal diritto dell'UE. Questo problema è al centro di tutte le cause tra il sig. Schrems, il commissario irlandese per la protezione dei dati (DPC) e Facebook, in quanto Facebook rientra chiaramente nelle leggi di sorveglianza degli Stati Uniti e ha partecipato a programmi come PRISM, pur avendo firmato in modo contraddittorio gli SCC, il Safe Harbor e ora il Privacy Shield (la decisione sui trasferimenti di dati tra UE e USA che sostituisce il Safe Harbor).
Primo riferimento alla CGUE nel 2013-2015 ("Safe Harbor")
Procedura dinanzi al Commissario irlandese per la protezione dei dati (DPC)
Dopo le rivelazioni di Snowden, il signor Schrems (all'epoca studente di legge austriaco) ha presentato un reclamo contro Facebook Ireland Ltd presso l'Irish Data Protection Commissioner (DPC). Nella denuncia si sosteneva che, ai sensi della Decisione Safe Harbor UE-USA 2000/520/CE (una decisione esecutiva presa dalla Commissione europea nel 2000) i dati personali del signor Schrems non dovrebbero essere inviati da Facebook Ireland Ltd (che serve gli utenti di Facebook al di fuori degli Stati Uniti e del Canada) a Facebook Inc. (la società madre statunitense), dato che Facebook deve concedere all'Agenzia per la sicurezza nazionale degli Stati Uniti l'accesso a tali dati.
Il DPC irlandese ha respinto il reclamo del signor Schrems come "frivolo e vessatorio", sostenendo che Facebook si è basata sulla decisione Safe Harbor per effettuare i trasferimenti di dati verso gli Stati Uniti. Secondo il DPC, la Commissione europea aveva accettato che la legge statunitense fosse adeguata nella decisione del 2000 (8 anni prima dell'approvazione del 50 U.S.C. § 1881a) e che il DPC fosse assolutamente vincolato dalla decisione della Commissione.
Riesame giudiziario contro il DPC
Nell'ottobre 2013 il sig. Schrems ha presentato un ricorso giudiziario contro la decisione del DPC, sostenendo che il DPC poteva utilizzare una "clausola di emergenza" nella decisione Safe Harbor per sospendere il trasferimento dei dati e che, in ogni caso, la decisione Safe Harbor era invalida. In una sentenza del 18. 6. 2014 [2014] IEHC 310, l'Alta Corte irlandese ha sospeso il procedimento e ha rinviato il caso alla Corte di giustizia dell'Unione europea (CGUE). L'Alta Corte irlandese ha concordato in larga misura sul fatto che esiste una "sorveglianza di massa" ai sensi della legge statunitense, ma ha ritenuto di non poter prendere una decisione definitiva sul caso del signor Schrems senza prima determinare la validità della decisione Safe Harbor. Ai sensi del diritto dell'UE, solo la CGUE può prendere decisioni sulla validità di atti dell'UE come la decisione Safe Harbor, il che significa che l'Alta Corte irlandese ha dovuto deferire il caso alla CGUE.
Sentenza della CGUE del 6 ottobre 2015 (C-362/14)
In una sentenza innovativa (C-362/14 Schrems) la CGUE ha dichiarato invalida la decisione sull'approdo sicuro, seguendo in larga misura le argomentazioni del sig. Schrems. La Corte ha affermato che un paese terzo come gli Stati Uniti deve fornire un livello di protezione"sostanzialmente equivalente" a quello garantito dal diritto dell'UE e che"la legislazione che consente alle autorità pubbliche di avere accesso su base generalizzata" viola l'essenza del diritto fondamentale dell'UE alla privacy ai sensi dell'articolo 7 della Carta dei diritti fondamentali dell'UE (QCR). Allo stesso modo, l'assenza di qualsiasi ricorso legale negli Stati Uniti per le persone non statunitensi viola il diritto fondamentale a un rimedio giudiziario ai sensi dell'articolo 47 della CFR.
A seguito della sentenza della CGUE, l'Alta Corte irlandese ha chiuso il procedimento presso i tribunali irlandesi, mentre il DPC si è impegnato ad attuare rapidamente la decisione della CGUE.
Secondo riferimento alla CGUE nel 2015-20 (SCC e Privacy Shield)
Informazioni sul fatto che Facebook si sia effettivamente affidato alle SCC
Con grande sorpresa del sig. Schrems, nel novembre 2015 il DPC lo ha informato che la sentenza della CGUE sulla decisione Safe Harbor era irrilevante per il suo reclamo originario, perché Facebook si era in realtà sempre basata sulle cosiddette "Clausole contrattuali standard" (SCC) per effettuare i suoi trasferimenti di dati. Il DPC non aveva comunicato questa informazione al signor Schrems, inducendolo a credere che Facebook si fosse affidato a Safe Harbor, nonostante avesse già ricevuto questa informazione da Facebook in una e-mail di risposta al reclamo nel 2013.
Il sig. Schrems ha quindi riformulato il suo reclamo per includere le SCC e qualsiasi altra base giuridica per i trasferimenti di dati che potrebbe essere invocata da Facebook, e ha fornito al DPC un reclamo aggiornato il 1° dicembre 2015. Schrems ha sostenuto che il DPC dovrebbe utilizzare l'articolo 4 della decisione SCC per sospendere i trasferimenti, poiché l'articolo 4 consente al DPC di sospendere i trasferimenti di dati in caso di violazione dei diritti fondamentali degli utenti.
Causa intentata dal DPC contro Facebook e Schrems
Invece di decidere rapidamente sul caso, il DPC ha sorprendentemente intentato una causa contro Facebook Ireland Ltd e Schrems poco dopo aver avviato la sua "indagine" sulla denuncia riformulata che coinvolgeva le due parti. Secondo il DPC, le due parti erano i "convenuti naturali" in questo caso e il DPC è stato costretto a chiedere all'Alta Corte di emettere un altro rinvio alla Corte di giustizia dell'UE. Schrems ha contestato il caso, sostenendo che il DPC può rivolgersi alla CGUE per la seconda volta solo dopo aver esaminato tutti i fatti e le questioni.
Diverse parti hanno chiesto di essere associate al caso come amicus (aiutanti neutrali della corte); il governo degli Stati Uniti, EPIC.org e due gruppi di pressione dell'industria sono stati associati al caso.
Nella causa, il DPC ha sostenuto che non solo si sarebbe unito al punto di vista del signor Schrems per quanto riguarda le sue preoccupazioni sulla legge di sorveglianza degli Stati Uniti, ma che, oltre a ciò, nutriva anche serie preoccupazioni sulla validità delle SCC utilizzate da Facebook. Il DPC ritiene che le SCC non forniscano un meccanismo legittimo per trasferire i dati, se un Paese terzo come gli Stati Uniti ha approvato leggi in conflitto con le SCC. Facebook e Schrems non hanno contestato le stesse SCC e hanno convenuto che, in tal caso, l'articolo 4 della decisione (UE) 2010/87 sulle SCC consentirebbe di trovare una soluzione.
Contrariamente a Schrems e al DPC, Facebook non vede alcun problema nelle leggi di sorveglianza degli Stati Uniti e ritiene che l'UE non abbia giurisdizione su questioni di "sicurezza nazionale". Facebook ha inoltre invocato la decisione Privacy Shield (UE) 2016/1250 della Commissione europea, che ha sostituito la decisione invalidata Safe Harbor. In questa decisione, la Commissione europea ha stabilito che non vi è alcun conflitto tra le leggi statunitensi sulla sorveglianza e i diritti fondamentali dell'UE. Secondo Facebook, questa constatazione contenuta nella decisione sul Privacy Shield deve essere applicata anche ai trasferimenti effettuati nell'ambito degli SCC. Schrems ritiene che la stessa decisione sul Privacy Shield non sia valida, in quanto rappresenta in modo fondamentalmente errato le leggi statunitensi in materia di sorveglianza e non è quindi un'autorità per interpretare le SCC.
Dopo diverse fasi procedurali e più di cinque settimane di udienze con la partecipazione di numerosi testimoni esperti in materia di diritto della sorveglianza statunitense, l'Alta Corte irlandese ha riconosciuto l'esistenza di programmi di sorveglianza di massa del governo statunitense. In una sentenza del 3 ottobre 2017 [2017] IEHC 545, l'Alta Corte irlandese ha riassunto tutti i risultati fattuali, evidenziando che gli Stati Uniti conducono un "trattamento di massa" dei dati personali, quando ad esempio filtrano l'intero traffico Internet che scorre attraverso parti della dorsale Internet. Il 13 aprile 2018 ha sottoposto alla CGUE undici questioni interpretative da risolvere. Le domande sono state in gran parte redatte dal DPC.
A seguito del rinvio, Facebook si è rivolto alla Corte Suprema irlandese nel tentativo di bloccare il rinvio da parte dell'Alta Corte, ma il ricorso è stato infine respinto il 31 maggio 2019.
Procedimento dinanzi alla CGUE (C-311/18)
Il 30 agosto 2018 le parti dovevano presentare le loro osservazioni scritte.
Il 19 luglio 2019 la CGUE ha discusso il caso davanti alla Grande Camera (la composizione più ampia della Corte, con 15 giudici), ascoltando le tre parti, i quattro amicus, la Commissione europea, il Parlamento europeo, il Comitato europeo per la protezione dei dati (EDPB) e un gran numero di governi degli Stati membri dell'UE. Le domande dei giudici si sono concentrate in particolare sulle questioni relative alle leggi sulla sorveglianza degli Stati Uniti e sulla validità della decisione sul Privacy Shield.
Il 19 dicembre 2019 l'Avvocato generale (AG) della Corte ha emesso il suo parere consultivo non vincolante sul caso, aderendo in larga misura alla posizione di Schrems. Secondo il parere, le leggi sulla sorveglianza degli Stati Uniti sono incompatibili con i diritti fondamentali dell'UE, ma la soluzione all'incompatibilità risiede nel DPC che ordina la sospensione dei trasferimenti di dati ai sensi dell'articolo 4 della decisione del Tribunale. Pur criticando esplicitamente la decisione sullo scudo per la privacy, l'AG ha ritenuto che la questione della sua validità non costituisca parte integrante del caso.
Il 16 luglio 2020 la Corte di giustizia ha emesso la decisione "Schrems II", schierandosi completamente con la posizione del denunciante, invalidando la decisione "Privacy Shield", imponendo al DPC di interrompere i trasferimenti di dati e ritenendo che le leggi sulla sorveglianza degli Stati Uniti violino gli articoli 7 (diritto alla privacy), 8 (diritto alla protezione dei dati) e 47 (diritto di ricorso) della Carta europea dei diritti fondamentali.