Sentenza della CGUE - Prima dichiarazione

Data Transfers
 /  16 July 2020
(c) Court of Justice of the European Union

La Corte di Giustizia dell’Unione Europea dichiara invalido il "Privacy Shield". Le Standard Contractual Clauses (SCC) non potranno essere utilizzate da Facebook e da aziende simili.

Facebook e società nella medesima posizione non potranno utilizzare le SCC. L’autorita’ irlandese, il Data Protection Commissioner, e’ infatti tenuto a interrompere il trasferimento dei dati operato in base a questo strumento. Schrems: "Abbiamo bisogno di una riforma della sorveglianza statunitense. La Corte ha chiarito che non può esserci alcun trasferimento di dati in violazione del diritto dell'UE".

Max Schrems' (presidente di noyb.eu e parte in causa), prima reazione alla sentenza:

Schrems: "Sono molto contento del giudizio. A quanto pare le nostre argomentazioni sono state confermate. Si tratta di un duro colpo per il DPC irlandese e Facebook. È chiaro che gli Stati Uniti dovranno porre in essere una radicale riforma dele loro leggi sulla sorveglianza, se intendono permettere alle proprie aziende di rimanere competitive nel mercato dell'UE.

La riforma della sorveglianza statunitense è inevitabile – la CGUE non poteva essere piu’ chiara.

La Corte ha chiarito che le leggi statunitensi in materia di sorveglianza confliggono con i diritti fondamentali dell'UE. L’ordinamento americano non assegna ai cittadini europei le medesime protezioni garantite ai cittadini statunitensi (o equiparati tali). Gli europei sono esposti alle intercettazioni della National Security Agency avverso le quali, di fatto, non è possibile alcun ricorso giurisdizionale. La CGUE ha riscontrato una violazione del nucleo essenziale di alcuni diritti fondamentali garantiti dall'UE.

Schrems: “La Corte ha chiarito per la seconda volta che c'è un conflitto tra la legge sulla privacy europea e la legge sulla sorveglianza degli Stati Uniti. Poiché l'UE non modificherà i suoi diritti fondamentali per compiacere la NSA, l'unico modo per superare questo scontro è che gli Stati Uniti introducano solidi diritti alla privacy per tutte le persone - compresi gli stranieri. La riforma della sorveglianza diventa così cruciale per gli interessi commerciali della Silicon Valley.”

"Questa decisione non è la causa ma la conseguenza. La limitazione ai trasferimenti non deriva dalla sentenza ma dalle leggi sulla sorveglianza attuate dal governo statunitense."

La Commissione Europea si è piegata alle pressioni degli Stati Uniti

La decisione chiarisce che, con l’adozione del Privacy Shield, la Commissione Europea non ha intrapreso una valutazione approfondita e accurata delle leggi di sorveglianza vigenti negli Stati Uniti. Al contrario, l’adozione del Privacy Shield sembra il risultato di un atteggiamento dimesso davanti alle pressioni statunitensi.

Herwig Hofmann, professore di diritto all'Università del Lussemburgo e uno degli avvocati che hanno sostenuto le cause Schrems dinanzi alla CGUE: "La CGUE ha invalidato la seconda decisione della Commissione che viola i diritti fondamentali dell'UE in materia di protezione dei dati. Non può esserci alcun trasferimento di dati in un paese con forme di sorveglianza di massa. Finché la legge statunitense darà al suo governo il potere di acquisire i dati UE in transito verso gli Stati Uniti, tali strumenti saranno sempre condannati all’annullamento. L'accettazione da parte della Commissione delle leggi di sorveglianza degli Stati Uniti nella decisione sul Privacy Shield li ha lasciati senza difesa."

Le DPA hanno il "dovere di agire" - Un importante rafforzamento del GDPR

La Corte ha inoltre precisato che le autorità di protezione dei dati (DPA) devono intervenire per garantire il pieno rispetto del GDPR. Fino ad ora alcune autorità hanno ritenuto di poter esercitare una discrezionalità illimitata nel non intraprendere alcuna azione. La Corte ha ora posto fine a questa pratica.

Schrems: "La Corte non solo sta dicendo al DPC irlandese di fare il suo lavoro dopo sette anni di inerzia, ma sta anche inviando un messaggio a tutte le DPA: avete un dovere di agire e non potete semplicemente guardare dall'altra parte. Si tratta di un cambiamento fondamentale che va ben oltre i trasferimenti di dati UE-USA. Autorità come la DPC irlandese hanno finora minato il successo del GDPR. La Corte ha detto chiaramente alle DPA di attivarsi e far rispettare la legge".

Facebook e altre aziende soggette ai programmi di sorveglianza USA non possono più utilizzare le SCC per giustificare i trasferimenti.

La Corte ha inoltre aderito all'interpretazione di Max Schrems secondo cui le società UE e i destinatari non-UE devono effettuare una valutazione della disciplina applicabile nel Paese terzo “ricevente”. Il trasferimento Solo se, al termine di questa valutazione, non si riscontrano conflitti tra le leggi, allora sarà possibile usare le SCC.

Si prevede poi un secondo livello di protezione. La DPA deve utilizzare la "clausola di emergenza" di cui all’art. 4 SCC nei casi in cui sia rilevato un conflitto con le leggi europee e le società non abbiano preso provvedimenti.

Il DPC ha osteggiato questa semplice interpretazione sin dal 2016 sostenendo che non si potesse agire concretamente in caso di programmi di sorveglianza di massa da parte di potenze straniere. In pratica, ciò significa che Facebook non può più utilizzare le SCC per il trasferimento di dati verso gli USA e la DPA irlandese deve intervenire con urgenza - contrariamente a quanto è avvenuto dopo l'annuncio della sentenza.

Schrems: "La sentenza chiarisce che le imprese non possono limitarsi a firmare le SCC, ma devono anche verificare se possono essere rispettate nella pratica. In casi come quello di Facebook, in cui non intervengono, il DPC irlandese ha sempre avuto la soluzione del caso nelle sue mani. Avrebbe potuto ordinare a Facebook di bloccare i trasferimenti da anni. Nel nostro reclamo abbiamo chiesto, sin dall’inizio, che l’ordine fosse emesso garantendo a Facebook un periodo di attuazione ragionevole. Invece di agire, il DPC si è rivolta alla CGUE per invalidare l'intero sistema. È come gridare per i vigili del fuoco europei, perché non si ha voglia di spegnere una candela".

Gli utenti si devono poter unire anche per via di costi legali estremamente elevati

Il fatto che questo caso sia in corso da 7 anni e che il DPC da solo abbia investito quasi 3 milioni di euro per avversare le richieste di Schrems (invece di intraprendere azioni decisive per proteggere i diritti degli europei) dimostra alcune gravi mancanze nel sistema di applicazione del GDPR. Attualmente è impossibile per una persona normale garantire che i diritti GDPR non siano solo una promessa vuota, ma diventino invece una parte normale della nostra vita digitale.

Schrems: "Il DPC ha investito circa 2,9 milioni di euro contro di noi - e in sostanza ha perso. Non voglio nemmeno sapere quanti milioni di euro Facebook ha buttato in questo caso. Le ricadute finanziarie di questo caso saranno ora decise dai tribunali irlandesi. Secondo il diritto dell'Unione europea, la denuncia di un cittadino deve essere trattata in modo libero e rapido. Tuttavia, in questo caso, siamo stati in tribunale per 7 anni con più di 45.000 pagine di documenti presentati. Questo tipo di sforzo legale è possibile solo con il supporto di noyb, che oggi conta più di 3.200 membri. Il mito che uno studente di legge possa farlo da solo è purtroppo sbagliato".

I flussi di dati "necessari" verso gli Stati Uniti possono continuare

Nonostante la decisione, i trasferimenti di dati verso gli US possono continuare se siano assolutamente necessari ai sensi dell'articolo 49 del GDPR.

Per esempio, gli utenti possono consentire acché i loro dati circolino all'estero a condizione che il consenso sia libero e informato, e sempre revocabile. Allo stesso modo la legge consente il flusso di dati transfrontaliero "necessario" per adempiere a un contratto. Si tratta di una base solida per la maggior parte dei rapporti giuridici con gli Stati Uniti. In parole povere, gli Stati Uniti sono ora riportati alla situazione "normale" che l'UE ha con la maggior parte degli altri paesi terzi, ma hanno perso il loro accesso speciale al mercato dell'UE a causa della sorveglianza statunitense.

Schrems: "La Corte ha esplicitamente sottolineato che l'invalidazione del Privacy Shield non creerà un "vuoto giuridico", poiché i flussi di dati necessari possono ancora essere effettuati. Gli Stati Uniti sono ora semplicemente rimandati ad un paese medio senza un accesso speciale ai dati dell'UE".


v1