Parere della CGUE - AG, prima dichiarazione

Dic 19, 2019

Le autorità di protezione dei dati devono interrompere il trasferimento dei dati in caso di violazione dei diritti fondamentali.
Seri dubbi sul Privacy Shield. L'avvocato generale applica la CEDU invece del CFR.
Schrems: "Il parere segue quasi tutte le nostre argomentazioni"

Scaricate qui la prima dichiarazione (PDF)

Scaricate qui il documento di base (PDF)

Max Schrems" (presidente di noyb.eu e parte in causa) prima reazione al parere dell'avvocato generale: "Sono generalmente soddisfatto del parere dell'avvocato generale. Il parere è in linea con le nostre argomentazioni giuridiche. Questo è un duro colpo per il DPC irlandese e Facebook, nonché un passo molto importante per la privacy degli utenti. Il problema è che l'avvocato generale propone un livello inferiore di protezione della privacy per la "sicurezza nazionale" ai sensi della CEDU, non della Carta dei diritti fondamentali dell'UE.

Gravi dubbi sulla Privacy Shield. Una questione che è stata in parte toccata dalle undici domande dell'Alta Corte irlandese, è stato il ruolo del nuovo accordo di trasferimento dati UE-USA chiamato "Privacy Shield". Il sig. Schrems ha espresso serie preoccupazioni sulla validità del Privacy Shield, che ora trovano eco nell'avvocato generale. Schrems: "Dopo la sentenza "Safe Harbor", la Commissione europea ha deliberatamente adottato di nuovo una decisione non valida - sapendo che ci vorranno due o tre anni prima che la Corte abbia la possibilità di invalidarla una seconda volta. Sarà molto interessante vedere se la Corte terrà conto di questo aspetto nella decisione finale o se aspetterà che la Corte raggiunga un altro caso"

Schrems: "Sono anche molto contento che l'AG abbia preso una chiara visione del difensore civico dello scudo protettivo. Una semplice "cassetta postale" presso il ministero degli Esteri degli Stati Uniti non può sostituire un tribunale, come richiesto dalla prima sentenza della Corte" Dato che il difensore civico è il pilastro centrale del sistema "Privacy Shield", è difficile capire perché l'AG non abbia detto l'ovvio: il Privacy Shield non protegge sufficientemente i dati dell'UE e quindi non deve essere valido.

AG: Il DPC dovrebbe fare il suo lavoro. Da oltre sei anni Schrems e noyb cercano di convincere il commissario irlandese per la protezione dei dati (DPC) a prendere provvedimenti mirati contro Facebook per lo scandalo delle spie della NSA, ma il DPC ha trovato infiniti motivi per non far rispettare la legge. Schrems: "L'avvocato generale sta ora dicendo di nuovo all'autorità irlandese per la protezione dei dati di fare il suo lavoro"

E' molto probabile che il DPC debba anche ritirare la fattura legale per l'intero caso, che potrebbe arrivare fino a 10 milioni di euro. Schrems: "Dopo tutto il contribuente irlandese potrebbe dover pagare fino a 10 milioni di euro di spese legali, perché il RPD ritarda questo caso nell'interesse di Facebook"

Le autorità hanno il dovere di agire. Un altro elemento molto cruciale è che l'Avvocato Generale chiarisce che le autorità di protezione dei dati hanno il dovere, secondo la legge, di agire. Schrems: "Al momento, molte autorità per la protezione dei dati si limitano a guardare dall'altra parte quando ricevono segnalazioni di violazioni o semplicemente non si occupano di reclami. Questo è un passo enorme per l'applicazione del GDPR"

Gli SCC possono rimanere. L'avvocato generale non si è unito al parere del CDC secondo cui gli SCC dovrebbero essere invalidati a livello globale. Tutte le altre parti in causa (compreso il sig. Schrems) non hanno espresso alcuna preoccupazione in merito alle SCC. L'avvocato generale ha spiegato al DPC che gli SCC hanno una cosidetta "valvola di pressione" incorporata (articolo 4 SCC) che consente al DPC di sospendere i flussi di dati ogniqualvolta vi sia un problema con la legge statunitense. Schrems: "Il parere chiarisce che il DPC ha la soluzione di questo caso nelle sue mani: Può ordinare a Facebook di sospendere i trasferimenti domani. Invece si è rivolta alla CGUE per invalidare l'intero sistema. È come gridare per i vigili del fuoco europei, perché non si sa come spegnere una candela da soli"

AG applica un test sulla privacy non UE. In Europa esistono due organismi di diritti fondamentali: In primo luogo, la Convenzione europea dei diritti dell'uomo (CEDU), in vigore dal 1953, che copre 47 Paesi, tra cui tutti gli Stati membri dell'UE, ma anche la Russia e la Turchia. In secondo luogo, la Carta dei diritti fondamentali (CFR) del 2000, che si applica solo all'interno dell'UE e garantisce in generale un livello di protezione più elevato. L'UE non ha aderito alla CEDU. L'AG ora applica lo standard molto più basso della CEDU, nonostante il fatto che la CGUE abbia applicato la Carta dei diritti fondamentali nella prima sentenza su questo caso.

Schrems: "Sorprendentemente, il parere segue la giurisprudenza estremamente favorevole alla sorveglianza della CEDU, alla quale l'UE non ha nemmeno aderito, invece della chiara giurisprudenza della Corte di giustizia. Ciò va contro ogni logica e la precedente giurisprudenza della Corte. L'AG ha mantenuto in precedenza un approccio più "rilassato" sui casi di sorveglianza rispetto alla Corte. Dubito che i giudici si uniranno a questa opinione".

Non c'è fine allo scontro tra i dati USA e UE. Il caso in sé non può superare lo scontro più profondo tra le leggi dell'UE e quelle degli Stati Uniti. Schrems: "A lungo termine spero che il legislatore statunitense si renda conto che nessun cliente straniero si fiderà dell'industria statunitense se non ci sarà una solida protezione della privacy negli Stati Uniti. Non si può dire 'fidarsi di noi con tutti i vostri dati, ma in realtà non avete alcun diritto'" Gli Stati Uniti hanno preoccupazioni simili per quanto riguarda l'hardware 5G cinese di Huawei o applicazioni come TikTok.

Impatto pratico: Più privacy per i consumatori dell'UE, problemi enormi per alcune imprese statunitensi. Se la Corte seguisse il parere odierno per avere un "approccio mirato", non ci sarebbe alcun impatto sulla maggior parte dei trasferimenti di dati dell'UE. Le autorità di protezione dei dati dell'UE potrebbero tuttavia bloccare i trasferimenti verso le imprese statunitensi che rientrano nella FISA 702 ("fornitori di servizi di comunicazione elettronica"). Tra queste figurano aziende come Facebook, Google, Microsoft, Amazon Web Services o Yahoo.

Schrems: "Tutti potranno comunque avere tutti i flussi di dati necessari con gli Stati Uniti, come l'invio di e-mail o la prenotazione di un hotel negli Stati Uniti. Alcune imprese dell'UE potrebbero non essere più in grado di utilizzare alcuni fornitori statunitensi per l'outsourcing, perché le leggi di sorveglianza degli Stati Uniti impongono a queste imprese di divulgare i dati alla NSA. Questo è anche un problema economico per gli Stati Uniti, perché i ricavi esteri andranno altrove. Spetta davvero agli Stati Uniti garantire la protezione della privacy di base per gli stranieri. Altrimenti nessuno si fiderà delle aziende statunitensi per quanto riguarda i loro dati"

noyb.eu Il caso è sostenuto dall'organizzazione europea senza scopo di lucro noyb.eunoyb.eu è finanziato da oltre 3.000 membri sostenitori e lavora su un contenzioso strategico per far rispettare il diritto fondamentale alla protezione dei dati.

Il team legale del sig. Schrems ha portato questo caso su base pro-bono ed è supportato da un team di avvocati provenienti dall'Irlanda, dagli Stati Uniti e dal Lussemburgo. Il sig. Schrems è rappresentato da Eoin McCullhan, incaricato da Ahern Rudden Quigley Solicitors. Il Prof. Herwig Hofmann ha sostenuto la causa in materia di diritto europeo. Ashley Gorski dell'Unione Americana per le Libertà Civili (ACLU.org) ha assistito come testimone esperto sulla legge statunitense sulla sorveglianza.

Dichiarazioni audio e video

Cercheremo di caricare una breve dichiarazione audio per l'utilizzo da parte di radio e podcast. Il link al file verrà aggiunto qui. Reuters e la Associated Press gireranno un breve video alle 12:30 CET presso la nostra sede di Vienna. Altri media potrebbero voler utilizzare questo filmato.

Ulteriori informazioni

noyb.eu Verifica su @noybeu e @maxschrems per ulteriori aggiornamenti

+43 660 2678622 media@noyb.eu

Irlanda: Gerard Rudden, avvocato ARQ (in rappresentanza del signor Schrems)

+353 1 661 6102 gerard.rudden@arqsolicitors.com

Sulla legge statunitense: Ashley Gorski, ACLU media@aclu.org

Uploads