In preparazione della consegna del parere consultivo non vincolante dell'Avvocato generale il 19 dicembre alle 9:45 circa in Lussemburgo, abbiamo redatto il seguente documento preparatorio. Il caso è pendente da 6,5 anni e mezzo, riguarda complesse leggi europee sulla privacy e sulla sorveglianza degli Stati Uniti ed è stato oggetto di quattro udienze dinanzi a diversi tribunali. Si tratta quindi di un caso molto complesso.
I. Contesto del caso
Sorveglianza degli Stati Uniti. Come confermato dalle rivelazioni di Edward Snowden, molte grandi società Internet statunitensi (in questo caso Facebook) hanno il dovere di consentire al governo americano di accedere ai dati degli utenti europei su larga scala per scopi di "intelligence straniera" (compresi l'antiterrorismo e lo spionaggio). Tale uso dei dati degli europei può essere contrario all'interesse nazionale dell'UE e dei suoi Stati membri (ad esempio nell'applicazione delle sanzioni statunitensi contro le imprese dell'UE o nello spionaggio di cittadini e governi dell'UE).
Il caso "Porto sicuro" del 2015. Sulla base di questi fatti, nel 2013 il sig. Schrems ha presentato una denuncia contro Facebook presso il commissario irlandese per la protezione dei dati ("DPC"). Il DPC ha dapprima respinto il reclamo come "frivolo e vessatorio". Il sig. Schrems ha presentato ricorso contro il DPC e alla fine ha vinto: In questo caso, C-362/14 SchremsLa CGUE ("Corte di giustizia dell'Unione europea", la Corte suprema dell'UE) ha confermato la sua opinione e ha stabilito che la sorveglianza di massa viola i diritti fondamentali europei. La Corte di Giustizia dell'Unione Europea ha eliminato il precedente sistema "Safe Harbor" che facilitava i trasferimenti di dati UE-USA. Questo sistema è stato urgentemente sostituito con il sistema "Privacy Shield" nel 2016. Schrems: "Privacy Shield è una versione aggiornata del sistema illegale "Safe Harbor". Nulla di quanto previsto dalla legge statunitense sulla sorveglianza è stato modificato o aggiustato"
Clausole contrattuali standard ("SCC"). Dopo la prima decisione della CGUE su "Safe Harbor", Facebook ha affermato che non avrebbe utilizzato "Privacy Shield" ma il cosiddetto "Clausole contrattuali standard” (SCC).
Gli SCC sono un contratto tra una società dell'UE (qui Facebook Ireland) e una società non UE (qui Facebook Inc, in California) in cui la società straniera si impegna a rispettare la privacy degli europei. La legge accetta che tali contratti proteggano sufficientemente i dati europei quando vengono trasferiti all'estero.
Problema di fondo: la legge sulla privacy dell'UE si scontra con la legge sulla sorveglianza degli Stati Uniti. Secondo le leggi sulla privacy dell'UE ("GDPR") e le SCC, una "esportazione di dati" verso un paese terzo è legale solo se la società esportatrice (in questo caso Facebook Ireland Ltd) può garantire una "protezione adeguata" negli Stati Uniti. In pratica, ciò si è rivelato impossibile, perché le leggi di sorveglianza degli Stati Uniti (come la FISA 702 e la EO 12.333) comportano un "trattamento di massa" da parte del governo americano di dati personali a fini di sorveglianza. Schrems: "In parole povere: La legge dell'UE richiede la privacy, mentre la legge degli Stati Uniti richiede una sorveglianza di massa. La domanda è: cosa succede quando una società dell'UE segue il diritto statunitense piuttosto che quello dell'UE? ”
Applicazione di Mr Schrems & Reaction da parte del DPC irlandese. Data la situazione di cui sopra e la sentenza della CGUE nella causa "Safe Harbor", il sig. Schrems ha di conseguenza richiesto al DPC irlandese nel 2015 di utilizzare l'articolo 4 del CSC, che consente al DPC di ordinare a Facebook di "sospendere" i trasferimenti di dati nei singoli casi. Sebbene il DPC abbia ora convenuto con il sig. Schrems che le leggi di sorveglianza statunitensi violano il diritto dell'UE, non ha intrapreso azioni dirette. Schrems: "Abbiamo chiesto una soluzione mirata, solo per le aziende che rientrano in queste leggi di sorveglianza. Il DPC avrebbe potuto emettere una tale decisione in un giorno"
Il DPC irlandese vuole invalidare le SCC. Il DPC, tuttavia, non ha seguito la richiesta del sig. Schrems, ma ha invece intentato una causa contro Facebook e il sig. Schrems dinanzi all'Alta Corte irlandese, con l'obiettivo di rinviare il caso alla CGUE - questa volta sulla validità delle SCC. L'Alta Corte irlandese ha ottemperato alla richiesta del DPC e ha rinviato undici domande alla CGUE, nonostante la resistenza di Schrems e Facebook (che si sono entrambi opposti al riferimento per motivi diversi). Gerard Rudden (di ARQ Solicitors, in rappresentanza del sig. Schrems): "Il mio cliente ha chiesto una soluzione mirata per le aziende che rientrano nelle leggi di sorveglianza di massa degli Stati Uniti. Il DPC avrebbe potuto emettere una tale decisione molto tempo fa. Invece, dopo 7 anni e due rinvii alla CGUE, non abbiamo ancora una decisione formale da parte del DPC. ”
noyb.eu Schrems ha portato questo caso su base pro-bono ed è supportato da un team di avvocati provenienti dall'Irlanda, dagli Stati Uniti e dal Lussemburgo. Il caso è sostenuto anche dall'organizzazione europea senza scopo di lucro noyb.eudi cui è anche presidente onorario. Schrems è rappresentato da Eoin McCullhan, su incarico di Ahern Rudden Quigley Solicitors. Il Prof. Herwig Hofmann ha sostenuto la causa in materia di diritto europeo. Ashley Gorski dell'Unione Americana per le Libertà Civili (ACLU.org) ha assistito come testimone esperto sulla legge statunitense sulla sorveglianza.
II. Possibili risultati
È molto probabile che ci sia una differenza tra l'opinione dell'AG e il giudizio finale. Il caso ha sollevato undici domande parzialmente interconnesse, con molte altre questioni aggiuntive che accompagnano ogni domanda. A differenza di molti altri casi non c'è una risposta binaria da aspettarsi. L'opinione e il giudizio finale possono sia espandersi ulteriormente su alcune questioni, sia rimanere in silenzio su altri punti. Schrems: "Questo caso ha undici domande interconnesse. È molto improbabile che l'Avvocato generale ci dia una sola risposta chiara, sì o no". Date le molte opzioni, è ancora meno probabile che i giudici affrontino queste undici domande allo stesso modo nel loro giudizio finale"
Oltre alle numerose e diverse opzioni in questo caso, l'audizione orale del caso avrebbe potuto essere un indicatore di opinioni alquanto diverse tra l'AG e i giudici. Schrems: "Durante l'udienza l'avvocato generale ha posto domande in una direzione molto diversa rispetto ai giudici. I giudici sembravano essere molto più critici nei confronti del diritto statunitense e della valutazione della Commissione europea rispetto all'avvocato generale. Mi aspetto quindi che la sentenza finale possa prevedere una tutela della privacy più rigorosa rispetto al parere di giovedì"
Necessaria una soluzione a lungo termine. A lungo termine, lo scontro fondamentale tra le leggi sulla privacy dell'UE e le leggi sulla sorveglianza degli Stati Uniti molto probabilmente non sarà risolto in questo caso. Schrems: "Se gli Stati Uniti vogliono trattare i dati degli stranieri, dovranno fornire agli stranieri almeno la stessa protezione della privacy di base. In questo momento gli Stati Uniti si comportano un po' come se la Svizzera dicesse: "Conservate tutto il vostro oro con noi, ma in realtà non avete alcun diritto una volta che è qui". Se questa è la situazione, chi nel mondo si fiderà degli Stati Uniti con i suoi dati?
III. Posizione delle parti sulla "Controversia principale"
Una volta che un'autorità di protezione dei dati ritiene che un destinatario di dati sia soggetto a obblighi legali in un paese terzo che non rispetta il diritto dell'UE (come in questo caso), si pone la questione di come risolvere questo dilemma. Le tre parti della procedura hanno proposto tre diverse risposte:
DPC irlandese |
Max Schrems |
|
|
La sorveglianza statunitense non viola il diritto dell'UE ("nessun problema da risolvere") |
No |
No |
Sì |
L'articolo 4 del CCS consente di sospendere ("soluzione mirata" per le imprese della FISA) |
No |
Sì |
Sì, se ci fosse un problema |
Gli SCC non sono validi a livello globale ("soluzione radicale") |
Sì |
No |
No |
- Facebook ritiene che la premessa della domanda sia sbagliata, perché la sorveglianza statunitense è conforme al diritto comunitario (per vari motivi) e il caso non è disciplinato dal diritto comunitario.
- Il sig. Schrems è del parere che l'articolo 4 del CCS consente al CDC di sospendere i flussi di dati in singoli casi, ma il CDC non si avvale di questa "soluzione mirata" ai sensi della legge.
- Il RPD vede un problema "sistematico" che dovrebbe portare all'invalidazione dei CSC a livello globale e non dovrebbe spettare al RPD agire in ogni singolo caso.
IV. FAQ e malintesi comuni
- Il signor Schrems non ha cercato di eliminare le clausole contrattuali standard?
L'onorevole Schrems non ha mai sostenuto che i CSC possano non essere validi. Di tutte le parti e di tutti gli interventi presso la CGUE solo il DPC ha ritenuto che i CSC dovessero essere invalidati. Tutti (istituzioni dell'UE, Stati membri, gruppi di pressione, Facebook e Schrems) sono del parere che i CSC non siano invalidi.
- L'UE non sta forse bloccando il libero scambio?
Ci sono due leggi che portano a questo scontro di giurisdizioni: (1) le leggi statunitensi sulla sorveglianza che consentono la sorveglianza di massa degli stranieri e lo spionaggio senza l'approvazione individuale del tribunale e (2) il diritto fondamentale europeo alla privacy. È altamente razionale vietare i flussi di dati verso un territorio straniero, se questi dati possono essere utilizzati in modo improprio. Gli Stati Uniti hanno preoccupazioni simili per quanto riguarda applicazioni come "TikTok" o l'hardware 5G di Huawei.
- Questo caso non significa che non potete più inviare e-mail negli Stati Uniti?
In termini semplici, il GDPR parla di due tipi di flussi di dati: (1) i flussi di dati necessari (come le e-mail o la prenotazione di un albergo all'estero), per i quali esistono deroghe all'articolo 49 del GDPR e (2) i casi di "outsourcing" del trattamento dei dati verso un paese terzo, che non sono strettamente necessari. Anche se le SCC fossero invalidate, ciò avrebbe conseguenze solo per la seconda categoria di casi, in cui non si applica alcuna "deroga".
Per le email questo significherebbe che una casella di posta elettronica Gmail nel suo complesso non potrebbe più essere esternalizzata negli Stati Uniti, ma le singole email che vanno ad un amico o collega americano saranno comunque recapitate (proprio come oggi le email vengono inviate in Cina, Russia o addirittura Corea del Nord).
- Questo caso riguarda tutti i flussi di dati verso gli Stati Uniti?
Secondo le argomentazioni del signor Schrems, la questione centrale è limitata alle società che rientrano in una specifica legge di sorveglianza denominata "FISA 702". Questa legge si applica solo ai "fornitori di servizi di comunicazione elettronica" (come Facebook, Google o Microsoft), ma non alle "imprese tradizionali" come le compagnie aeree, gli alberghi, il commercio, le finanze e simili.
C'è un'altra questione che riguarda un'autorizzazione di sorveglianza chiamata "EO 12.333", che permette agli Stati Uniti di effettuare la sorveglianza in qualsiasi settore commerciale, compresi i cavi transatlantici al di fuori degli Stati Uniti. Questo è rilevante soprattutto per la valutazione del "Privacy Shield".
Nel complesso, una sospensione dei trasferimenti di dati nell'ambito degli SCC è necessaria solo per le aziende che rientrano nella FISA 702, introdotta nel 2007. Il problema può essere risolto fissando questa legge negli Stati Uniti.
- Il signor Schrems ha fatto causa a Facebook due volte?
Mentre il signor Schrems ha presentato il reclamo originale al DPC nel 2013, il DPC ha messo in pausa questa procedura e ha intentato una causa contro Facebook e il signor Schrems. Sono imputati e non hanno iniziato questo (secondo) riferimento alla CGUE. Infatti, il sig. Schrems e Facebook si sono entrambi opposti al riferimento alla CGUE per motivi diversi.
- Cosa ha a che fare questo caso con il "Privacy Shield"?
Facebook ha sollevato il "Privacy Shield" nel caso in questione, in quanto sostiene che la Commissione Europea ha approvato le leggi di sorveglianza degli Stati Uniti nel Privacy Shield e questa valutazione dovrebbe essere vincolante anche quando le leggi di sorveglianza degli Stati Uniti sono valutate ai sensi dei SCC. Il sig. Schrems ha sostenuto che questa valutazione è di fatto errata e che il Privacy Shield non è quindi valido.
Non è chiaro se l'avvocato generale affronterà l'uno o l'altro argomento, poiché i giudici hanno interrogato intensamente la Commissione europea sul Privacy Shield durante l'udienza.
- Perché dice che gli SCC sono a posto, ma il Privacy Shield non lo è?
Il SCC è uno strumento generico per circa 200 paesi nel mondo. Non si occupa delle leggi di sorveglianza degli Stati Uniti. In caso di conflitto di leggi, l'articolo 4 del CSC consente al DPC di bloccare il trasferimento dei dati. Gli SCC hanno quindi una risposta al problema davanti alla Corte. Nella decisione sul Privacy Shield, la Commissione europea ha dichiarato esplicitamente che la legge statunitense sulla sorveglianza è conforme al diritto dell'UE, con cui siamo fondamentalmente in disaccordo.
- Secondo lei, cosa avrebbe dovuto fare il DPC?
Ai sensi dell'articolo 4 dei SCC, qualsiasi autorità per la protezione dei dati (come il DPC) può bloccare i trasferimenti di dati, se i SCC non sono di fatto rispettati. Facebook Ireland era a conoscenza della sorveglianza dell'NSA almeno dal 2013, ma non ha adottato alcuna misura per bloccare o limitare i trasferimenti di dati. In questi casi, il regolatore deve intervenire e prendere provvedimenti.
- Come possono le aziende rispettare una sentenza favorevole?
In primo luogo, avrebbero bisogno di identificare se uno dei loro dati va a un "fornitore di servizi di comunicazione elettronica" statunitense che rientra nella FISA 702. La maggior parte dei settori tradizionali non rientrano in queste leggi di sorveglianza, ma le grandi aziende tecnologiche che molti di noi utilizzano (come Facebook, Google, Amazon o Microsoft).
Anche se i dati vanno a uno di questi fornitori, la maggior parte dei trasferimenti di dati essenziali (ad esempio l'invio di e-mail, messaggi diretti o dati di prenotazione) possono comunque essere trasferiti in base alle cosiddette "deroghe" del GDPR. In caso di mero "outsourcing", tuttavia, le aziende europee potrebbero dover trovare alternative al di fuori degli Stati Uniti.