Scarica: Comunicato stampa
A seguito di numerose richieste, abbiamo riassunto i fatti principali del caso sottoposto alla Corte di giustizia dell'Unione europea (CGUE) sul trasferimento di dati tra l'UE e gli Stati Uniti e sulla sorveglianza di massa da parte del governo statunitense. Il caso sarà discusso domani (martedì 9 luglio, ore 9:00) davanti alla Grande Camera della Corte di giustizia.
Fraintendimenti comuni sul caso
- Il caso riguarda tutti i trasferimenti di dati tra UE e USA? No, riguarda solo i trasferimenti verso gli Stati Uniti che sono soggetti a "sorveglianza di massa". Nella maggior parte delle situazioni, esistono modi semplici per evitare la sorveglianza di massa e molti settori industriali (ad esempio banche, compagnie aeree, commercio e banche) non rientrano in alcuna legge sulla sorveglianza di massa. Il reclamo di Schrems riguarda solo Facebook, che nel documento di Snowden è indicato come un collaboratore della NSA nella sorveglianza di massa nell'ambito di "PRISM".
- Il caso riguarda tutti i trasferimenti internazionali di dati dell'UE? Tra le parti del procedimento, solo il Commissario irlandese per la protezione dei dati ritiene che le "clausole contrattuali standard" (SCC) non siano valide. Schrems ritiene che (se correttamente applicate e fatte rispettare dal DPC) le SCC rappresentino una soluzione adeguata. Nessun'altra parte del procedimento irlandese, oltre al DPC, ha sollevato questioni di validità.
- Tutti i trasferimenti di dati verso gli Stati Uniti sono problematici? No. Le leggi sulla sorveglianza come la FISA 702 si applicano solo ai "fornitori di servizi di comunicazione elettronica". La legislazione europea distingue inoltre tra trasferimenti necessari (ascoltati nelle deroghe) e "esternalizzazione" non necessaria del trattamento. In combinazione, il problema si pone soprattutto con i fornitori di servizi cloud e di comunicazione che ricadono sotto le leggi sulla sorveglianza (ad esempio, Facebook, Google, Apple, Amazon Web Services), ma non con altri settori industriali o trasferimenti di dati "necessari" (ad esempio, e-mail, prenotazioni e simili).
- Il sig. Schrems sostiene di invalidare i CDS? No. Schrems sostiene che le SCC consentono al Commissario irlandese per la protezione dei dati di bloccare singoli trasferimenti di dati, come quello di Facebook. Poiché esiste una soluzione ovvia al problema, a suo avviso non c'è alcuna questione di validità.
- Il "Privacy Shield" è in discussione? Sì, è in discussione. Facebook si è basata sulla valutazione della Commissione europea della legge statunitense nel "Privacy Shield" e sostiene che tale valutazione dovrebbe essere applicata anche alle "Clausole contrattuali standard". Schrems ha a sua volta sostenuto che questa valutazione della Commissione è sbagliata. Poiché il Privacy Shield si basa su una falsa interpretazione della legge statunitense, dovrebbe essere invalidato.
- Sarà ancora possibile inviare e-mail negli Stati Uniti o prenotare un volo? Sì. L'articolo 49 del GDPR prevede che L'articolo 49 del GDPR prevede "deroghe" che consentono tutti i trasferimenti di dati se sono, ad esempio, "necessari per fornire un contratto" o se l'utente ha esplicitamente acconsentito. Ad esempio: È necessario inviare un'e-mail negli Stati Uniti se il destinatario si trova lì, ma non è necessario inviare e-mail attraverso gli Stati Uniti se il mittente e il destinatario si trovano in Europa.
- Che tipo di trasferimenti è necessario interrompere? Fondamentalmente l'"outsourcing" del trattamento dei dati che potrebbe essere effettuato anche in Europa o in altri Paesi che offrono standard di protezione dei dati adeguati.
Storia del caso
Il caso si basa su una denuncia presentata dall'avvocato Max Schrems contro Facebook nel 2013(link alla denuncia). Più di sei anni fa, Edward Snowden ha rivelato che Facebook consente ai servizi segreti statunitensi di accedere ai dati personali degli europei nell'ambito di programmi di sorveglianza come "PRISM" (cfr. Wikipedia). La denuncia mira a bloccare i trasferimenti di dati tra l'UE e gli Stati Uniti da parte di Facebook. Finora il DPC irlandese non ha intrapreso alcuna azione concreta in tal senso.
Il primo rifiuto e la sentenza della CGUE su Safe Harbor
Il caso è stato respinto per la prima volta dal commissario irlandese per la protezione dei dati (DPC) nel 2013, quindi è stato sottoposto a un controllo giurisdizionale in Irlanda e a un rinvio alla Corte di giustizia dell'Unione europea (CGUE). Nel 2015 la CGUE ha stabilito che il cosiddetto accordo "Safe Harbor" che consentiva il trasferimento di dati tra l'UE e gli Stati Uniti non era valido(link alla sentenza C-362/14) e che il DPC irlandese doveva indagare sul caso, cosa che inizialmente si era rifiutato di fare.
Informazioni sull'uso delle "clausole contrattuali standard"
Sorprendentemente, alla fine del 2015 il DPC ha informato il signor Schrems che Facebook in realtà non si era mai affidato all'accordo "Safe Harbor", ora invalidato, ma si era invece affidato già nel 2013 alle "Clausole contrattuali standard" (un altro meccanismo per trasferire i dati dall'UE agli USA). Il DPC non ha rivelato questo fatto e ha invece suggerito che Safe Harbor li bloccava per procedere con il caso. Questa "deviazione" ha reso la prima sentenza della CGUE irrilevante per il caso.
Seconda indagine e causa
Schrems ha adattato il suo reclamo ai trasferimenti effettuati in base alle "Clausole contrattuali standard" e ha chiesto anche la fine dei trasferimenti di dati a Facebook USA, sulla base dell'argomentazione che essi rendono i dati disponibili alla NSA. L'indagine del DPC è durata solo un paio di mesi, da dicembre 2015 alla primavera 2016. Invece di decidere sulla denuncia, nel 2016 il DPC ha intentato una causa contro Facebook e Schrems (entrambi sono ora imputati) presso l'Alta Corte irlandese, al fine di sottoporre ulteriori questioni alla CGUE. Dopo oltre sei settimane di udienze, svoltesi principalmente nel 2017, l'Alta Corte irlandese ha stabilito che il governo degli Stati Uniti effettua un "trattamento di massa" dei dati personali europei e ha sottoposto undici questioni alla CGUE per la seconda volta(link alla sentenza) nel 2018.
I prossimi passi
La CGUE ha inserito il caso nell'elenco C-311/18 e lo esaminerà per la seconda volta il 9 luglio 2019, circa sei anni dopo la presentazione del reclamo originale. La sentenza è attesa entro la fine dell'anno. Dopo la sentenza della CGUE, il DPC dovrà finalmente decidere sul reclamo per la prima volta. La decisione potrebbe essere nuovamente soggetta a ricorsi da parte di Facebook o del signor Schrems.
Argomentazioni principali delle parti
- Il commissario irlandese per la protezione dei dati si unisce a Schrems nel ritenere che le leggi sulla sorveglianza degli Stati Uniti violino i diritti fondamentali alla privacy, alla protezione dei dati e ai ricorsi previsti dal diritto europeo. Il DPC afferma, tuttavia, di non avere i poteri per risolvere la questione. Poiché il meccanismo di trasferimento dei dati utilizzato da Facebook (clausole contrattuali standard) non prevede una situazione del genere, le clausole stesse devono essere invalidate. Ciò significherebbe che i trasferimenti di dati verso qualsiasi Paese non appartenente all'UE in base a questo strumento dovrebbero essere interrotti.
- Facebook ritiene che la legge statunitense non vada oltre ciò che è legale ai sensi del diritto dell'UE. Facebook si chiede inoltre se l'UE abbia giurisdizione sui casi di "sicurezza nazionale". In sintesi, Facebook non vede alcun problema nel continuare a trasferire dati agli Stati Uniti in base a leggi sulla sorveglianza di massa come la FISA. Facebook si basa anche sulla valutazione della Commissione europea della legge statunitense nella cosiddetta decisione "Privacy Shield", che afferma che le leggi sulla sorveglianza degli Stati Uniti sono conformi ai requisiti dell'UE.
- Schrems concorda con il DPC sul problema, ma propone una soluzione più misurata. La legge (articolo 4 CP) consente al DPC di bloccare singoli trasferimenti di dati (come quello di Facebook). Schrems sostiene che il DPC irlandese ha il dovere di agire, invece di rinviare il caso alla CGUE. Per quanto riguarda l'affidamento di Facebook al "Privacy Shield", Schrems ritiene che la decisione sul Privacy Shield della Commissione europea non descriva adeguatamente le leggi statunitensi in materia di sorveglianza, non sia nemmeno lontanamente in grado di fornire un'adeguata protezione della privacy e debba quindi essere invalidata.
- Commissione europea: Ci si aspetta che la Commissione europea difenda entrambe le sue decisioni: Clausole contrattuali standard e Privacy Shield. Probabilmente si schiererà con gli Stati Uniti e con Facebook, ritenendo che non vi sia alcuna violazione dei diritti fondamentali negli Stati Uniti, ma riconoscerà anche che il DPC ha il potere di risolvere autonomamente la questione se la CGUE ravvisa una violazione dei diritti fondamentali negli Stati Uniti.
Dichiarazione di Schrems
Max Schrems, presidente della noyb: "Proponiamo una soluzione misurata: Il DPC irlandese deve semplicemente applicare le regole in modo corretto, invece di rinviare il caso a Lussemburgo più e più volte. Questo caso è in sospeso da sei anni. In questi sei anni, il DPC ha deciso solo il 2-3% dei casi che gli sono stati sottoposti. Non abbiamo un problema di 'clausole contrattuali standard', ma di applicazione"
noyb
noyb è una nuova organizzazione europea senza scopo di lucro che si occupa di far valere il diritto alla privacy attraverso le controversie. Sostiene questa causa ed è a sua volta sostenuta da oltre 3.500 membri donatori.
Cifre chiave
Le parti in causa sono il Commissario irlandese per la protezione dei dati, Facebook Ireland Ltd e Max Schrems. La Corte irlandese ha anche permesso a quattro "amicus curiae" (aiutanti neutrali della corte) di unirsi al caso, ovvero il governo degli Stati Uniti, l'Electronic Privacy Information Center (epic.org) e due organizzazioni di lobby del settore.
Tutti gli Stati membri dell'UE, la Commissione europea, il Parlamento europeo e il Comitato europeo per la protezione dei dati (EDPB) hanno potuto presentare le loro osservazioni.