Trasferimenti di dati UE-USA

EU and US law crashing

Contesto

Al centro di questo caso c'è un conflitto di leggi tra le leggi di sorveglianza degli Stati Uniti che richiedono la sorveglianza e le leggi dell'UE sulla protezione dei dati che richiedono la privacy.

Problema: le leggi di sorveglianza degli Stati Uniti

Nel 2013, Edward Snowden ha rivelato pubblicamente che le agenzie di intelligence statunitensi hanno accesso ai dati personali degli utenti europei con l'aiuto di programmi di sorveglianza come PRISM. Tale accesso è stato facilitato da una legge statunitense non nota per consentire una sorveglianza di così ampia portata, denominata 50 U.S.C. §1881a (o FISA 702). La FISA 702 è stata approvata nel 2008 e ha ampliato sostanzialmente le possibilità di sorveglianza e di accesso ai dati per le autorità statunitensi. Contemporaneamente a questa espansione, un numero sempre maggiore di dati personali è stato raccolto dai fornitori di servizi di comunicazione elettronica statunitensi (come Apple, Microsoft, Facebook, Google e Yahoo). In combinazione, ciò ha portato a un impatto sempre più negativo sulla sfera privata degli utenti europei.

Ai sensi della FISA 702, i "fornitori di servizi di comunicazione elettronica" statunitensi (come definiti nel 50 U.S.C. §1881(4)) possono essere obbligati a concedere alle autorità di sicurezza statunitensi l'accesso ai dati personali di "persone non statunitensi", definite come chiunque non sia cittadino statunitense o residente permanente negli Stati Uniti. Gli ordini di sorveglianza previsti da questa legge non devono essere specifici per un singolo obiettivo, ma consentono piuttosto un intero programma di sorveglianza a tappeto come PRISM o Upstream. Non esiste un'approvazione giudiziaria individualizzata per le persone non statunitensi. La FISA 702 consente anche la sorveglianza per scopi piuttosto ampi, come "informazioni che ... si riferiscono a ... la condotta degli affari esteri degli Stati Uniti" (cfr. 50 U.S.C. §1801(e)).

Esistono anche poteri di sorveglianza statunitensi basati sul "potere intrinseco del presidente americano" e ulteriormente definiti in un ordine esecutivo (EO 12.333), mentre altri elementi sono descritti nella direttiva sulla politica presidenziale 28 (PPD-28). Entrambi sono ordini interni al ramo esecutivo che non creano alcun dovere o diritto per i soggetti privati, ma consentono la sorveglianza di soggetti non statunitensi.

I documenti divulgati da Edward Snowden elencano una serie di società statunitensi che stanno fornendo dati al governo statunitense per programmi di sorveglianza come PRISM o Upstream ai sensi di queste disposizioni, tra cui Apple, Microsoft, Facebook, Google e Yahoo.

Reazione: Limiti GDPR Trasferimenti di dati

Le leggi europee sulla privacy (prima la direttiva 95/46, e ora il GDPR) si basano sul concetto di un libero flusso di dati personali, ma solo all'interno di una sfera che protegge la privacy degli utenti. Se i dati personali fossero protetti solo all'interno dell'Unione Europea ma potessero essere trasferiti al di fuori della giurisdizione dell'UE senza alcuna restrizione, l'elevato livello di protezione dei dati personali necessario all'interno dell'UE potrebbe essere facilmente compromesso.

Tuttavia, il diritto dell'UE ha sempre previsto contemporaneamente eccezioni a questo principio di limitazione dei trasferimenti, ad esempio quando i dati personali devono necessariamente essere trasferiti (ad esempio quando si prenota un servizio all'estero o quando si invia un'e-mail) o quando un utente acconsente liberamente a un trasferimento. Queste deroghe per i trasferimenti non strutturali sono attualmente codificate nell'articolo 49 GDPR.

Inoltre, il diritto dell'UE riconosce che possono sussistere situazioni in cui le imprese extra-UE forniscono un livello di protezione equivalente dei dati personali. In alcuni paesi il diritto nazionale è simile al diritto dell'UE (ad esempio Svizzera, Israele, Canada o Giappone), mentre in altri paesi le società possono impegnarsi volontariamente a rispettare i principi dell'UE firmando accordi di diritto civile, come le clausole contrattuali standard (SCC), le norme vincolanti d'impresa o il Privacy Shield UE-USA. Queste ultime basi giuridiche si trovano negli articoli da 46 a 48 del GDPR e sono ampiamente utilizzate per situazioni meglio descritte come "outsourcing" del trattamento dei dati personali da parte delle imprese verso paesi non UE.

Poiché gli Stati Uniti non hanno una legge omnibus o una legge federale sulla privacy, le società statunitensi devono fare affidamento su una di queste opzioni contrattuali di cui agli articoli da 46 a 48 GDPR per l'esternalizzazione. Tuttavia, per le imprese che rientrano nel campo di applicazione delle leggi di sorveglianza statunitensi, l'utilizzo di queste opzioni contrattuali è impossibile nella pratica, in quanto la legge statunitense impone loro di violare gli obblighi previsti dal diritto dell'UE. Questo problema è al centro di tutti i casi tra il sig. Schrems, il Commissario irlandese per la protezione dei dati (DPC) e Facebook, in quanto Facebook rientra chiaramente nelle leggi di sorveglianza statunitensi e partecipa a programmi come PRISM, mentre firma in modo contraddittorio SCC, Safe Harbor e ora Privacy Shield (la decisione sui trasferimenti di dati UE-USA che sostituisce Safe Harbor).

Primo riferimento alla CGUE nel 2013-2015 ("Safe Harbor")

Procedura dinanzi al Commissario irlandese per la protezione dei dati (DPC)

Dopo le rivelazioni di Snowden, il sig. Schrems (all'epoca studente di legge austriaco) ha presentato una denuncia contro Facebook Ireland Ltd dinanzi al commissario irlandese per la protezione dei dati (DPC). La denuncia sosteneva che ai sensi del Decisione UE-USA sull'approdo sicuro 2000/520/CE (una decisione esecutiva presa dalla Commissione Europea nel 2000) I dati personali del sig. Schrems non devono essere inviati da Facebook Ireland Ltd (che serve gli utenti di Facebook al di fuori degli Stati Uniti e del Canada) a Facebook Inc. (la società madre statunitense), dato che Facebook deve concedere all'Agenzia per la sicurezza nazionale statunitense l'accesso a tali dati.

Il DPC irlandese ha respinto il reclamo del signor Schrems come "frivolo e vessatorio", sostenendo che Facebook si è basato sulla decisione Safe Harbor per effettuare i propri trasferimenti di dati verso gli Stati Uniti. Secondo il DPC, la Commissione europea aveva accettato che la legge statunitense fosse adeguata nella decisione del 2000 (8 anni prima dell'approvazione del 50 U.S.C. § 1881a) e che il DPC fosse assolutamente vincolato dalla decisione della Commissione.

Controllo giurisdizionale contro il DPC

Nell'ottobre 2013 il sig. Schrems ha chiesto la revisione giudiziaria della decisione del RPD, sostenendo che il RPD poteva utilizzare una "clausola di emergenza" nella decisione Safe Harbor per sospendere il trasferimento dei dati e che, in ogni caso, la decisione Safe Harbor non era valida. In una sentenza del 18. 6. 2014 [2014] IEHC 310, l'Alta Corte irlandese ha sospeso la procedura e ha deferito il caso alla Corte di giustizia dell'Unione europea (CGUE). L'Alta Corte irlandese si è ampiamente dichiarata d'accordo sul fatto che esiste una "sorveglianza di massa" ai sensi della legge statunitense, ma ha ritenuto di non poter prendere una decisione definitiva sul caso del sig. Schrems senza prima determinare la validità della decisione Safe Harbor. Secondo il diritto comunitario solo la CGUE può prendere decisioni sulla validità di atti comunitari come la decisione Safe Harbor, il che significa che l'Alta Corte irlandese ha dovuto deferire il caso alla CGUE.

Sentenza della CGUE del 6 ottobre 2015 (C-362/14)

In un giudizio rivoluzionario (C-362/14 Schrems) la CGUE ha dichiarato invalida la decisione Safe Harbor, seguendo in larga misura le argomentazioni del sig. Schrems. La Corte ha dichiarato che un paese terzo come gli Stati Uniti deve fornire un livello di protezione "essenzialmente equivalente" a quello offerto dal diritto dell'UE e che "la legislazione che consente alle autorità pubbliche di avere accesso su base generalizzata" viola l'essenza del diritto fondamentale dell'UE alla privacy ai sensi dell'articolo 7 della Carta dei diritti fondamentali dell'UE (CFR). Allo stesso modo, la mancanza di qualsiasi ricorso legale negli Stati Uniti per le persone non statunitensi viola il diritto fondamentale al ricorso giurisdizionale ai sensi dell'articolo 47 della Carta dei diritti fondamentali dell'UE.

A seguito della sentenza della CGUE, l'Alta Corte irlandese ha chiuso il procedimento presso i tribunali irlandesi, poiché il DPC si è impegnato ad attuare rapidamente la decisione della CGUE.

Secondo riferimento alla CGUE nel 2015-20 (SCC & Privacy Shield)

Informazioni che Facebook ha effettivamente fatto affidamento sui SCC

Con grande sorpresa del sig. Schrems, nel novembre 2015 il DPC lo ha informato che la sentenza della CGUE sulla decisione Safe Harbor era irrilevante per il suo reclamo iniziale, perché Facebook si era in effetti sempre basata sulle cosiddette "clausole contrattuali standard" (SCC) per effettuare i propri trasferimenti di dati. Il DPC non aveva rivelato queste informazioni al sig. Schrems, inducendolo a credere che Facebook si fosse affidata a Safe Harbor, nonostante avesse già ricevuto questa informazione da Facebook in una risposta via e-mail al reclamo nel 2013.

Di conseguenza, il sig. Schrems ha riformulato il suo reclamo per includere ora gli SCC e qualsiasi altra base giuridica per il trasferimento di dati su cui Facebook possa fare affidamento, e ha fornito al DPC un reclamo aggiornato il 1° dicembre 2015. Il sig. Schrems ha sostenuto che il CDC dovrebbe utilizzare l'articolo 4 della decisione del CSC per sospendere i trasferimenti, poiché l'articolo 4 consente al CDC di sospendere i trasferimenti di dati in caso di violazione dei diritti fondamentali degli utenti.

Causa del DPC contro Facebook e il sig. Schrems

Invece di decidere rapidamente sul caso, il DPC ha sorprendentemente intentato una causa contro Facebook Ireland Ltd e il sig. Schrems poco dopo aver iniziato la sua "indagine" sulla denuncia riformulata che coinvolge le due parti. Secondo il DPC le due parti erano gli "imputati naturali" in questo caso, e il DPC è stato costretto a chiedere all'Alta Corte di emettere un altro rinvio alla Corte di giustizia dell'UE. Il sig. Schrems ha contestato il caso, sostenendo che il DPC può fare riferimento alla CGUE solo una seconda volta, una volta che tutti i fatti e le questioni sono stati indagati.

Diverse parti hanno chiesto di essere unite come amicus (aiutanti neutrali della corte) al caso; il governo statunitense, EPIC.org e due gruppi di lobby del settore si sono uniti ad esso.

Nella causa, il DPC ha sostenuto che non solo si sarebbe unito al punto di vista del sig. Schrems nelle sue preoccupazioni sulla legge statunitense sulla sorveglianza, ma, al di là di questo, aveva anche serie preoccupazioni sulla validità degli SCC utilizzati da Facebook. Il DPC ha ritenuto che gli SCC non prevedono un meccanismo legale per il trasferimento dei dati, se un paese terzo come gli Stati Uniti ha approvato leggi in conflitto con gli SCC. Facebook e il sig. Schrems non hanno avuto alcun problema con gli stessi SCC e hanno convenuto che in tal caso l'articolo 4 della decisione SCC (UE) 2010/87 permetterebbe di trovare una soluzione.

Contrariamente a Schrems e al DPC, Facebook non vedeva alcun problema con le leggi di sorveglianza degli Stati Uniti e riteneva che l'UE non avesse giurisdizione sulle questioni di "sicurezza nazionale". Facebook si è inoltre basato sulla decisione sulla protezione della privacy (UE) 2016/1250 della Commissione europea, che ha sostituito la decisione invalidata Safe Harbor. In questa decisione, la Commissione europea ha ritenuto che non vi sia conflitto tra le leggi di sorveglianza degli Stati Uniti e i diritti fondamentali dell'UE. Secondo Facebook questa constatazione nella decisione sul Privacy Shield deve essere applicata anche ai trasferimenti nell'ambito degli SCC. Il sig. Schrems ha ritenuto che la decisione Privacy Shield non sia valida in sé, in quanto rappresenta fondamentalmente un travisamento delle leggi di sorveglianza degli Stati Uniti e non è quindi un'autorità per interpretare gli SCC.

Dopo diverse fasi procedurali e più di cinque settimane di udienze con la partecipazione di numerosi esperti sulla legge statunitense sulla sorveglianza, l'Alta Corte irlandese ha riconosciuto l'esistenza di programmi di sorveglianza di massa del governo statunitense. In una sentenza del 3 ottobre 2017 [2017] IEHC 545, l'Alta Corte irlandese ha riassunto tutti i risultati di fatto, evidenziando che gli Stati Uniti effettuano "trattamenti di massa" di dati personali, quando ad esempio filtrano l'intero traffico Internet che scorre attraverso parti della dorsale di Internet. Il 13 aprile 2018 ha sottoposto alla Corte di giustizia delle Comunità europee undici questioni interpretative per la determinazione. Le domande sono state in gran parte redatte dal CDC.

A seguito del rinvio, Facebook ha presentato ricorso alla Corte Suprema irlandese nel tentativo di bloccare il rinvio da parte dell'Alta Corte, ma il ricorso è stato infine respinto il 31 maggio 2019.

Procedura dinanzi alla CGUE (C-311/18)

Il 30 agosto 2018 le parti hanno dovuto presentare le loro osservazioni scritte.

Il 19 luglio 2019 la CGUE ha ascoltato la causa dinanzi alla Grande Camera (la più grande composizione della Corte, con 15 giudici), ascoltando le tre parti, i quattro amicus, la Commissione europea, il Parlamento europeo, il Consiglio europeo per la protezione dei dati (EDPB) e un gran numero di governi degli Stati membri dell'UE. Le domande dei giudici si sono concentrate in particolare sulle questioni relative alle leggi di sorveglianza degli Stati Uniti e alla validità della decisione sul Privacy Shield.

Il 19 dicembre 2019 l'Avvocato generale (AG) della Corte ha emesso il suo parere consultivo non vincolante sulla causa, unendosi in gran parte alla posizione del sig. Schrems. Secondo il parere, le leggi statunitensi in materia di sorveglianza sono incompatibili con i diritti fondamentali dell'UE, ma la soluzione all'incompatabilità risiede nella decisione del CDC che ordina la sospensione dei trasferimenti di dati ai sensi dell'articolo 4 della decisione del CSC. Pur criticando esplicitamente la decisione sullo scudo protettivo, l'AG ha ritenuto che la questione della sua validità non costituisca parte integrante del caso.

La sentenza definitiva su queste questioni da parte della CGUE sarà pronunciata il 16 luglio 2020 a partire dalle ore 09:30 circa.

Relevant articles