Prep - Contesto del parere di domani dell'AG

Gen 14, 2020

In preparazione della consegna del parere consultivo non vincolante dell'Avvocato generale il 19 dicembre alle 9:45 circa in Lussemburgo, abbiamo redatto il seguente documento preparatorio. Il caso è pendente da 6,5 anni e mezzo, riguarda complesse leggi europee sulla privacy e sulla sorveglianza degli Stati Uniti ed è stato oggetto di quattro udienze dinanzi a diversi tribunali. È quindi molto complesso.

Scaricate qui il Prep-Documento (PDF)

I. Contesto del caso

Sorveglianza degli Stati Uniti. Come confermato dalle rivelazioni di Edward Snowden, molte grandi società americane di Internet (in questo caso Facebook) hanno il dovere di consentire al governo americano di accedere ai dati degli utenti europei su larga scala per scopi di "intelligence straniera" (compresi l'antiterrorismo e lo spionaggio). Tale uso dei dati degli europei può essere contrario all'interesse nazionale dell'UE e dei suoi Stati membri (ad esempio quando si applicano le sanzioni statunitensi contro le imprese dell'UE o quando si spiano i cittadini e i governi dell'UE).


Il caso "Porto sicuro" del 2015. Sulla base di questi fatti, nel 2013 il sig. Schrems ha presentato una denuncia contro Facebook presso il Commissario irlandese per la protezione dei dati ("DPC"). Il DPC ha dapprima respinto la denuncia come "frivola e vessatoria". Il signor Schrems ha fatto ricorso in appello contro il DPC e alla fine ha vinto: In questo caso, C-362/14 SchremsLa CGUE ("Corte di giustizia dell'Unione europea", la Corte suprema dell'UE) ha confermato la sua opinione e ha stabilito che la sorveglianza di massa viola i diritti fondamentali europei. La CGUE ha eliminato il precedente sistema "Safe Harbor" che facilitava i trasferimenti di dati UE-USA. Questo sistema è stato urgentemente sostituito nel 2016 con il sistema "Privacy Shield". Schrems: "Privacy Shield è una versione aggiornata dell'illegale 'Safe Harbor'. Non è stato cambiato o aggiustato nulla nella legge di sorveglianza degli Stati Uniti"


Clausole contrattuali standard ("SCC"). Dopo la prima decisione della CGUE su "Safe Harbor", Facebook ha affermato che non avrebbe utilizzato "Privacy Shield" ma il cosiddetto "Clausole contrattuali standard” (SCC).

Gli SCC sono un contratto tra una società dell'UE (qui Facebook Ireland) e una società non UE (qui Facebook Inc, in California) in cui la società straniera si impegna a rispettare la privacy degli europei. La legge accetta che tali contratti proteggano sufficientemente i dati europei quando vengono trasferiti all'estero.


Problema di fondo: la legge sulla privacy dell'UE si scontra con la legge sulla sorveglianza degli Stati Uniti. Secondo le leggi sulla privacy dell'UE ("GDPR") e le SCC, una "esportazione di dati" verso un paese terzo è legale solo se la società esportatrice (in questo caso Facebook Ireland Ltd) è in grado di garantire una "protezione adeguata" negli Stati Uniti. In pratica, ciò si è rivelato impossibile, perché le leggi di sorveglianza degli Stati Uniti (come la FISA 702 e la EO 12.333) comportano un "trattamento di massa" da parte del governo americano[1] di dati personali a fini di sorveglianza. Schrems: "In parole povere: La legge dell'UE richiede la privacy, mentre la legge degli Stati Uniti richiede una sorveglianza di massa. La domanda è: cosa succede quando una società dell'UE segue il diritto statunitense piuttosto che quello dell'UE?


Applicazione di Mr Schrems & Reaction da parte del DPC irlandese. Data la situazione di cui sopra e la sentenza della CGUE nella causa "Safe Harbor", il sig. Schrems ha di conseguenza richiesto al DPC irlandese nel 2015 di utilizzare l'articolo 4 del SCC, che consente al DPC di ordinare a Facebook di "sospendere" i trasferimenti di dati in singoli casi. Il DPC ha ora concordato con il sig. Schrems che le leggi di sorveglianza degli Stati Uniti violano il diritto dell'UE, ma non ha intrapreso azioni dirette. Schrems: "Abbiamo chiesto una soluzione mirata, solo per le aziende che rientrano in queste leggi di sorveglianza. Il DPC avrebbe potuto emettere una tale decisione entro un giorno"


Il DPC irlandese vuole invalidare le SCC. Il DPC non ha tuttavia seguito la richiesta del sig. Schrems, ma ha invece intentato una causa contro Facebook e il sig. Schrems dinanzi all'Alta Corte irlandese, con l'obiettivo di rinviare il caso alla CGUE - questa volta sulla validità delle SCC. L'Alta Corte irlandese si è conformata alla richiesta del DPC e ha rinviato undici domande alla CGUE, nonostante la resistenza di Schrems e Facebook (che si sono entrambi opposti al riferimento per motivi diversi). Gerard Rudden (di ARQ Solicitors, in rappresentanza del sig. Schrems): "Il mio cliente ha chiesto una soluzione mirata per le aziende che rientrano nelle leggi di sorveglianza di massa degli Stati Uniti. Il DPC avrebbe potuto emettere una decisione del genere molto tempo fa. Invece, dopo 7 anni e due rinvii alla CGUE, non abbiamo ancora una decisione formale da parte del DPC.


noyb.eu Schrems ha portato questo caso su base pro-bono ed è supportato da un team di avvocati provenienti dall'Irlanda, dagli Stati Uniti e dal Lussemburgo. Il caso è sostenuto anche dall'organizzazione europea senza scopo di lucro noyb.eudi cui è anche presidente onorario. Il sig. Schrems è rappresentato da Eoin McCullhan, su incarico di Ahern Rudden Quigley Solicitors. Il Prof. Herwig Hofmann ha sostenuto la causa in materia di diritto europeo. Ashley Gorski dell'Unione Americana per le Libertà Civili (ACLU.org) ha assistito come testimone esperto sulla legge statunitense sulla sorveglianza.