La CGUE ascolta la causa sui trasferimenti di dati UE-USA (clausole contrattuali standard e tutela della privacy)

Set 17, 2019

A causa di una serie di richieste, abbiamo riassunto i fatti principali della causa dinanzi alla Corte di giustizia dell'Unione europea (CGUE) sui trasferimenti di dati UE-USA e sulla sorveglianza di massa da parte del governo statunitense. Il caso sarà esaminato domani (ore 9:00, martedì 9 luglio) dinanzi alla Grande Sezione della Corte di giustizia.

Comuni fraintendimenti comuni del caso

  • È questo caso di tutti Trasferimenti di dati UE-USA? No, si tratta solo di trasferimenti verso gli Stati Uniti che sono soggetti a "sorveglianza di massa". Nella maggior parte delle situazioni, esistono modi semplici per evitare la sorveglianza di massa e molti settori industriali (ad esempio banche, compagnie aeree, commercio e banche) non rientrano in nessuna di queste leggi di sorveglianza di massa. La denuncia del sig. Schrems si rivolge solo a Facebook, che nel documento Snowden è citato nel documento Snowden come un aiuto alla NSA con sorveglianza di massa sotto "PRISM".
  • È questo caso circa tutti i trasferimenti internazionali di dati UE? Delle parti coinvolte nel procedimento, solo l'Irish Data Protection Commissioner ritiene che le "clausole contrattuali standard" (SCC) non siano valide. Il sig. Schrems ritiene che (se correttamente applicati e fatti rispettare dal CPS) i CCS forniscono una soluzione adeguata. Nessun'altra parte della procedura irlandese, a parte il DPC, ha sollevato questioni di validità.
  • Sono tutti i trasferimenti di dati verso gli Stati Uniti sono problematici?
  • Il sig. Schrems sostiene di invalidare le SCC?
  • È "Privacy Shield" sul tavolo? Sì. Facebook si è basato sulla valutazione della Commissione europea della legislazione statunitense nel "Privacy Shield" e sostiene che tale valutazione dovrebbe applicarsi anche alle "clausole contrattuali standard". L'onorevole Schrems a sua volta ha sostenuto che questa valutazione della Commissione è errata. Poiché il Privacy Shield si basa su una falsa interpretazione della legge statunitense, dovrebbe essere invalidato.
  • Sarà ancora in grado di inviare e-mail agli Stati Uniti o prenotare un volo? Sì. L'articolo 49 del PILR prevede "deroghe" che consentono tutti i trasferimenti di dati se sono ad esempio "necessari per fornire un contratto" o se l'utente ha dato il suo esplicito consenso. Per esempio: È necessario inviare un'e-mail agli Stati Uniti se il destinatario è presente, ma non è necessario inviare e-mail tramite gli Stati Uniti se il mittente e il destinatario sono in Europa.
  • Che tipo di trasferimenti può essere necessario fermare allora? Basicamente "outsourcing" del trattamento dei dati che potrebbe essere fatto anche in Europa o in altri paesi che forniscono adeguati standard di protezione dei dati.

Storia del caso

Il caso si concentra su un reclamo da parte dell'avvocato della privacy Max Schrems contro Facebook nel 2013 (link to complaint). Più di sei anni fa, Edward Snowden ha rivelato che Facebook permette ai servizi segreti americani di accedere ai dati personali degli europei sotto sorveglianza come "PRISM" (vedi Wikipedia). La denuncia mira a bloccare i trasferimenti di dati UE-USA su Facebook. Finora, il DPC irlandese non ha intrapreso alcuna azione concreta per farlo.

Primo rifiuto e sentenza della CGUE sull'approdo sicuro

link to judgment in C-362/14), e che il DPC irlandese ha dovuto indagare sul caso, cosa che inizialmente ha rifiutato di fare

Informazioni sull'uso delle "clausole contrattuali standard"

A sorpresa, il DPC ha informato il sig. Schrems alla fine del 2015 che Facebook di fatto non ha mai fatto affidamento sull'ormai invalidato accordo "Safe Harbor", ma ha invece fatto affidamento già nel 2013 sulle "Standard Contractual Clauses" (un altro meccanismo per trasferire dati dall'UE agli USA). Il DPC non ha rivelato questo fatto e ha invece suggerito che Safe Harbor li bloccava per procedere con il caso. Questa "deviazione" ha reso la prima sentenza della CGUE irrilevante per la causa.

Seconda inchiesta e causa

Il sig. Schrems ha adattato il suo reclamo ai trasferimenti effettuati nell'ambito delle "clausole contrattuali standard" e ha anche chiesto la fine dei trasferimenti di dati a Facebook USA, sulla base dell'argomento che essi mettono i dati a disposizione della NSA. L'indagine del DPC è durata solo un paio di mesi da dicembre 2015 alla primavera 2016. Invece di decidere sul reclamo, nel 2016 il DPC ha intentato una causa contro Facebook e il sig. Schrems (entrambi ora imputati) presso la High Court irlandese, per sottoporre ulteriori domande alla CGUE. Dopo più di sei settimane di udienze che si sono svolte principalmente nel 2017, la High Court irlandese ha constatato che il governo statunitense si occupa del "trattamento di massa" di dati personali europei e ha sottoposto undici domande alla Corte di giustizia dell'Unione europea per la seconda volta (link to judgement) nel 2018

Passi successivi

La CGUE ha elencato il caso sotto C-311/18 e lo ascolterà per la seconda volta il 9 luglio 2019 - circa sei anni dalla presentazione della denuncia originale. Il giudizio è atteso entro la fine dell'anno. Dopo la sentenza della CGUE, il TBC dovrebbe finalmente decidere in merito al reclamo per la prima volta. La decisione potrebbe essere nuovamente oggetto di ricorso da parte di Facebook o del sig. Schrems.

Core Argomenti delle parti

  • Il Irish Data Protection Commissioner si unisce al sig. Schrems nel suo punto di vista che le leggi di sorveglianza statunitensi violano i diritti fondamentali alla privacy, alla protezione dei dati e ai mezzi di ricorso ai sensi della legislazione europea. Il DPC dice, tuttavia, che non ha il potere di risolvere il problema. Poiché il meccanismo di trasferimento dei dati utilizzato da Facebook (clausole contrattuali standard) non prevede tale situazione, le clausole stesse devono essere invalidate. Ciò significherebbe che i trasferimenti di dati verso qualsiasi paese terzo nell'ambito di questo strumento dovrebbero essere interrotti.
  • Facebook è del parere che il diritto statunitense non va oltre quanto è legale ai sensi del diritto comunitario. Facebook si chiede inoltre se l'UE abbia una qualche competenza in materia di "sicurezza nazionale". In sintesi, Facebook non vede alcun problema a continuare a trasferire dati agli Stati Uniti sotto la sorveglianza di massa, come la FISA. Facebook si basa anche sulla valutazione della Commissione europea della legislazione statunitense nella cosiddetta decisione "Privacy Shield", che afferma che le leggi di sorveglianza statunitensi sono conformi ai requisiti UE.
  • Schrems concorda con il DPC sul problema, ma propone una soluzione più misurata. La legge (articolo 4 CP) consente al CPP di bloccare i trasferimenti di dati individuali (come quelli di Facebook). Il sig. Schrems afferma che il DPC irlandese ha il dovere di agire, invece di rinviare la causa alla CGUE. Per quanto riguarda l'affidamento di Facebook al "Privacy Shield", il sig. Schrems ritiene che la decisione della Commissione europea non descrive adeguatamente le leggi statunitensi in materia di sorveglianza, non è nemmeno lontanamente in grado di fornire adeguate protezioni della privacy, e deve quindi essere invalidata.
  • Commissione europea:

dichiarazione di Mr. Schrems

Max Schrems, presidente di noyb: "Proponiamo una soluzione misurata: Il CPP irlandese deve semplicemente applicare correttamente le norme, invece di rinviare la causa al Lussemburgo più e più volte. La causa è pendente da sei anni. Nel corso di questi sei anni, il DPC ha effettivamente deciso in appena il 2-3% dei casi che gli sono stati sottoposti. Non abbiamo un problema con le 'clausole contrattuali standard', abbiamo un problema di applicazione"

noyb

noyb è un nuovo organismo europeo senza scopo di lucro che garantisce il diritto alla privacy attraverso il contenzioso. Supporta questo caso ed è a sua volta supportato da più di 3.500 membri donatori.

Cifre chiave

Le parti in giudizio sono l'Irish Data Protection Commissioner, Facebook Ireland Ltd e Max Schrems. La Corte Irlandese ha anche permesso a quattro "amicus curiae" (aiutanti neutrali alla corte) di unirsi al caso, vale a dire il governo degli Stati Uniti, l'Electronic Privacy Information Center (epic.org), e due organizzazioni di lobby industriali.

Tutti gli Stati membri dell'UE, la Commissione europea, il Parlamento europeo e il comitato europeo per la protezione dei dati (EDPB) hanno potuto presentare le loro osservazioni.

Diventa membro

Il nostro lavoro è reso possibile da più di 3.100 membri sostenitori - qualsiasi forse tu