Facebook e l’(in)adeguatezza della data protection USA

Studio Legale De Vita - Facebook e l'(in)adeguatezza della data protection

Facebook e l’(in)adeguatezza della data protection USA

La decisione UE “Privacy Shield” si infrange contro i principi del GDPR

 

Nota a sentenza CGUE – Causa C-311/18, Facebook Ireland Ltd. & Maximilian Schrems

 

Con la sentenza in commento la Corte di Giustizia dell’Unione Europea si è pronunciata sulle questioni pregiudiziali poste dalla High Court of Ireland nell’ambito del procedimento che ha visto contrapporsi, da un lato, il Data Protection Commissioner irlandese (ossia l’autorità garante nazionale) e, dall’altro, l’austriaco Maximillian Schrems e Facebook Ireland Ltd..

Il caso, nato da un reclamo di Schrems di fronte all’autorità garante, aveva ad oggetto la valutazione della conformità al diritto dell’Unione delle decisioni della Commissione europea 2010/87/UE e 2016/1250/UE, concernenti il trasferimento di dati personali verso Paesi terzi, rispettivamente al di fuori dell’Unione (la c.d. “standard contractual clauses” decision) e verso gli Stati Uniti (la c.d. “Privacy Shield” decision). Il cittadino austriaco, infatti, voleva ottenere la sospensione del trasferimento UE-USA dei dati raccolti da Facebook.

La Corte ha deciso di confermare la validità della prima decisione, sulla base della valutazione delle clausole contrattuali standard ivi contenute e della loro conformità al diritto dell’Unione. Al contrario, ha scelto di invalidare la seconda, a fronte della valutazione di adeguatezza in concreto della protezione dei dati personali offerta dagli Stati Uniti: quest’ultima è stata ritenuta inidonea a garantire il medesimo livello di protezione offerto dal diritto dell’Unione europea nei confronti dell’individuo interessato dal trattamento dei dati.

Dai programmi di sorveglianza adottati dalle agenzie di intelligence, fino alle carenze in punto di tutele giurisdizionali, gli USA sono ancora distanti da questo livello: la pronuncia in esame potrebbe generare rilevanti conseguenze (e potenziali danni) per i fornitori di servizi web come Facebook, che potrebbero vedere negati o sospesi i trasferimenti dei dati nei loro server oltreoceano.

Il caso

Il caso prende le mosse da un reclamo presentato nel 2013 da Maximillian Schrems, un cittadino austriaco che era iscritto a Facebook dal 2008, di fronte all’equivalente irlandese del nostro Garante per la privacy (Data Protection Commissioner). In Irlanda, infatti, ha sede Facebook Ireland Ltd., la controllata di Facebook Inc. (stabilita negli Stati Uniti) con cui gli utenti europei del social network devono stipulare il contratto di utilizzo. I dati raccolti dalla società irlandese vengono successivamente trasferiti negli Stati Uniti, sui server di Facebook Inc., per essere elaborati e, di conseguenza, trattati.

In tale occasione, Schrems lamentava la mancanza di adeguata protezione offerta nei confronti dei dati da parte del diritto statunitense, nello specifico avverso eventuali attività di sorveglianza portate avanti dal governo USA. Il reclamo non veniva accolto, poiché il DPC irlandese riteneva che tale valutazione di adeguatezza fosse già stata effettuata dalla Commissione europea con la decisione 2000/520/CE, c.d. “Safe Harbour” [1]. Successivamente, adita con ricorso la High Court of Ireland, quest’ultima sottoponeva alla Corte di Giustizia una domanda pregiudiziale sulla conformità al diritto dell’Unione della citata decisione, che veniva invalidata. Di conseguenza, la High Court annullava il provvedimento di rigetto del DPC e rinviava allo stesso per una nuova decisione. Nel corso del nuovo procedimento di fronte all’autorità, Facebook Ireland Ltd. si difendeva sostenendo che i trasferimenti di dati effettuati negli Stati Uniti si basavano sulle clausole standard contenute nella decisione 2010/87/UE della Commissione europea [2], per cui l’autorità, sulla base di ciò, chiedeva a Schrems di formulare nuovamente il reclamo ed in termini diversi.

Schrems, dunque, presentava un nuovo reclamo nel 2015, evidenziando come le clausole previste dalla citata decisione non fossero idonee a garantire la protezione dei dati, in un contesto come quello statunitense, nel quale i programmi di sorveglianza attivati dalle autorità nazionali (come FBI o NSA) imponevano a società come Facebook Inc. di consentire l’accesso, secondo modalità e scopi non compatibili con il diritto dell’Unione, ed in particolare con gli artt. 7, 8 e 47 della Carta dei Diritti Fondamentali dell’Unione europea [3].

Nel 2016, sulla base delle evidenze ottenute nell’ambito delle proprie indagini, il DPC decideva di adire a sua volta la High Court, affinché questa si rivolgesse nuovamente alla CGUE per valutare la validità della decisione 2010/87/UE.

Nel frattempo, la Commissione europea emanava la decisione (UE) 2016/1250 [4] (c.d. “Privacy Shield”, in sostituzione della decisione invalidata “Safe Harbour”), con cui veniva effettuata una nuova valutazione di adeguatezza delle garanzie offerte dall’ordinamento statunitense, basata sulle nuove dichiarazioni e iniziative delle autorità governative USA.

Le questioni

Il 4 maggio del 2018, la High Court sottoponeva alla CGUE il rinvio pregiudiziale, sollevando undici questioni, vertenti sulla compatibilità dei trasferimenti di dati personali verso paesi terzi – ed in particolare verso gli Stati Uniti – con il TUE, il TFUE, la Carta dei Diritti Fondamentali dell’Unione europea e la direttiva 95/46/CE [5]. Di seguito sono riassunte le menzionate questioni, secondo l’ordine logico seguito dalla sentenza:

a) In primis, visti i dubbi sollevati sulla compatibilità del trasferimento verso un Paese terzo che si avvale di programmi di sorveglianza tramite dati, veniva domandato se le disposizioni in materia di protezione dei dati fossero applicabili nei casi in cui vengano fatte valere ragioni basate sulla tutela della sicurezza nazionale [6].

b) Inoltre, la Corte veniva interrogata su quali fossero le basi normative tramite cui valutare eventuali violazioni in materia di trasferimento e l’idoneità del livello di protezione offerta da un Paese terzo, così come su quali fossero i parametri per individuare, da un lato, quale sia il livello di protezione richiesto dalle clausole contrattuali standard (ex decisione 2010/87/UE) e, dall’altro, se tale livello fosse rispettato in concreto [7].

c) Altresì, sulla base della richiesta originaria di Schrems di bloccare il trasferimento dei dati, veniva posto un quesito specifico riguardante l’esercizio dei poteri dell’autorità garante. In particolare, si chiedeva se nel caso di trasferimento di dati verso uno Stato con norme di sorveglianza contrastanti con il diritto dell’Unione, fosse obbligatorio per l’autorità sospendere i flussi di dati o potesse discrezionalmente scegliere di non intervenire [8].

d) Due quesiti, inoltre, si concentravano sulla validità della decisione 2010/87/UE, sia per un eventuale contrasto con gli artt. 7, 8 e 47 della Carta, come evidenziato da Schrems, sia per la inidoneità delle clausole standard ad offrire garanzie sufficienti. Veniva osservato criticamente, infatti, che tali clausole non vincolano necessariamente il Paese terzo verso cui può avvenire il trasferimento dei dati, le cui autorità ben potrebbero richiedere, come avviene negli Stati Uniti, che l’importatore li metta a disposizione per ragioni di (presunta) sicurezza nazionale [9].

e) Infine, la Corte si sarebbe dovuta pronunciare nello specifico sui trasferimenti dei dati verso gli Stati Uniti. Da un lato, infatti, veniva presa in considerazione l’eventuale illegittimità dell’applicazione della decisione 2010/87/UE a tale Paese, in considerazione dello scarso livello di protezione lamentato e della difficoltà di accesso ad un ricorso giurisdizionale a tutela dell’interessato; dall’altro, veniva domandato quale rilevanza avesse la decisione “Privacy Shield” nella valutazione del diritto statunitense alla protezione dei dati personali, ed in particolare se avesse valore vincolante nei confronti delle autorità garanti e dei giudici nazionali dei Paesi membri dell’Unione [10].

La decisione

Le risposte fornite dalla Corte hanno portato ad una parziale vittoria per Schrems, soprattutto per quanto riguarda la validità della decisione “Privacy Shield” ed il potere/dovere di intervento delle autorità nazionali nei confronti di trasferimenti di dati che mettano a rischio il rispetto delle clausole standard e il rispetto dei principi del GDPR e della Carta.

Sebbene il rinvio della High Court facesse riferimento alla normativa contenuta nella Direttiva 95/46/CE (la c.d. “direttiva madre” in materia di privacy) dal 25 maggio 2018 è entrato in vigore il Regolamento europeo per la protezione dei dati personali (GDPR), che ha abrogato e sostituito tale direttiva: pertanto, le risposte della Corte sono basate sulle disposizioni del medesimo Regolamento.

a) In primo luogo, la Corte ha escluso che il solo fatto di poter sottoporre i dati trasferiti ad accessi giustificati da motivi di “sicurezza pubblica, di difesa e sicurezza dello Stato” sia sufficiente ad escludere che al trattamento si possano applicare le disposizioni del GDPR. Al contrario, l’operazione di trasferimento rientra pienamente nell’ipotesi di trattamento di dati personali, ex 4, punto 2 del GDPR [11].

b) La valutazione del livello di protezione offerta da un Paese terzo, verso cui trasferire dati personali, viene parametrata dalla Corte con riguardo alle garanzie ex 46 del GPDR [12]. In particolare, pur non venendo indicati dalla disposizione elementi di valutazione specifici, il Giudice europeo ha ritenuto che sia sufficiente la precisazione per cui gli interessati “devono godere di garanzie adeguate e disporre di diritti azionabili e mezzi di ricorso effettivi”. Nel caso degli Stati Uniti, la Corte evidenzia, ad esempio, l’enorme difficoltà riscontrata nei confronti dell’accesso ai mezzi di ricorso previsti per gli interessati.

c) Per quanto, invece, attiene al ruolo dell’autorità garante individuata dallo Stato membro, la Corte le attribuisce un ampio potere di controllo, anche in presenza – come nel caso di specie – di una decisione della Commissione europea che stabilisce l’adeguatezza dei trasferimenti verso un Paese terzo. In questo caso, qualora sia investita di un reclamo, a prescindere da quanto stabilito da una eventuale decisione, l’autorità dovrà esaminare liberamente la validità del trasferimento dei dati e, se necessario, ricorrere di fronte ad un giudice nazionale affinché questi proponga un rinvio pregiudiziale dinanzi alla Corte (come accaduto nel caso Schrems).
Di contro, nel caso in cui non vi sia una decisione di adeguatezza, viene individuato un preciso obbligo in capo all’autorità garante di sospendere o vietare il trasferimento di dati. La Corte fa riferimento all’assenza di una decisione “valida”, così lasciando già intendere che, all’esito del rinvio al giudice nazionale, sarà possibile per il DPC sospendere o vietare i trasferimenti di dati effettuati da Facebook Ireland Ltd., in conformità con quanto richiesto da Schrems.

d) Al contrario, la Corte non si è orientata in senso favorevole all’austriaco, come accennato, per quanto riguarda la decisione 2010/87/UE e le clausole contrattuali standard ivi contenute. Infatti, è opportuno in questo caso distinguere tra la valutazione in astratto dell’idoneità delle citate clausole a far rispettare la protezione dei dati personali ex GDPR e la valutazione in concreto della loro effettività nell’ambito dell’ordinamento di un Paese terzo determinato. Qualora il destinatario dei dati nel Paese terzo si renda conto di non poter rispettare quanto previsto dalle clausole a causa di una normativa nazionale, è obbligato a rendere tale informazione, da cui discende l’obbligo per il titolare del trattamento di sospendere il trasferimento dei dati e, nel caso in cui tale condizione non sia reversibile, di risolvere il contratto in essere. Dal punto di vista della Corte, dunque, tale meccanismo non garantisce che le clausole siano opponibili allo Stato terzo, tuttavia offrono una tutela adeguata nei confronti del comportamento che può, anzi deve, adottare il titolare del trattamento (su cui incombe anche un obbligo di verifica di adeguatezza preliminare). Inoltre, il testo della decisione non preclude la possibilità per un’autorità garante di uno Stato membro di intervenire per sospendere o vietare il trasferimento effettuato in assenza di garanzie, offrendo una ulteriore protezione agli interessati.

Infine, prendendo in considerazione la valutazione effettuata dalla Corte, nello specifico, sull’adeguatezza del livello di protezione offerto dagli Stati Uniti, si può osservare come, ancora una volta, il sistema di tutele ideato oltreoceano sia considerato troppo lontano, non solo geograficamente, dai principi dell’ordinamento dell’Unione. Ed infatti, nonostante il DPC ancora non conoscesse il “Privacy Shield” al momento del ricorso, poiché ancora non emanato, viene ritenuta corretta la scelta della High Court di inserire tra le questioni del rinvio pregiudiziale anche gli effetti di quest’ultima decisione.

e) I problemi da cui è affetta la decisione, a parere della Corte, sono molteplici. In primis, nell’ambito dei dati trasferiti dall’Unione europea, è consentita una deroga, molto ampia, che consente di disapplicare i principi di trattamento ivi contenuti qualora siano incompatibili con esigenze di sicurezza nazionale, interesse pubblico e legislazione interna. In tal modo si realizza una pericolosa esposizione rispetto a programmi di sorveglianza delle agenzie nazionali, come PRISM o UPSTREAM [13]. La normativa su cui questi si basano [14], inoltre, era stata analizzata nella decisione della Commissione; quest’ultima aveva valutato sufficiente specificare che le limitazioni ai principi e le compressioni dei diritti individuali potevano essere giustificate se contenute nell’ambito di “quanto strettamente necessario per conseguire l’obiettivo legittimo ricercato” e a patto che esistesse “una tutela giuridica efficace”. Tuttavia, secondo la Corte, gli accessi consentiti dagli Stati Uniti alle proprie autorità non rispetta il principio di proporzionalità, secondo requisiti che siano equivalenti a quelli previsti nell’Unione. Infatti, non è possibile dire che i servizi di intelligence si limitino, con i programmi citati, ad acquisire solo lo stretto necessario.

Un altro punto di debolezza della decisione invalidata è stato individuato proprio nel principale meccanismo di tutela, individuato nella figura del c.d. “Mediatore”. Tale figura indipendente ha il compito di vigilare sulla corretta applicazione del “Privacy Shield”, eventualmente indicando alle agenzie governative come orientare il proprio operato. Tuttavia, da un lato le indicazioni di tale soggetto non risultano vincolanti (nonostante le dichiarazioni di intenti del governo statunitense) e, di conseguenza, effettive; dall’altro, si presenta come una figura affatto indipendente, ma apparentemente in stato di soggezione gerarchica rispetto al Segretario di Stato, che ne cura la nomina, senza che vi siano garanzie sulle modalità di eventuale revoca dell’incarico.

Al contrario della 2010/87/UE, la decisione “Privacy Shield” non viene considerata conforme al GDPR, in particolare all’art. 45, sul trasferimento sulla base di una decisione di adeguatezza, come interpretato in senso garantista verso l’interessato alla luce degli artt. 7, 8 e 47 della Carta.

Non si può sottovalutare l’impatto della pronuncia in termini di responsabilità attribuita alle autorità garanti, di cui ha attentamente preso nota lo European Data Protection Supervisor (il garante europeo), con una dichiarazione immediatamente successiva alla pubblicazione della sentenza [15]. Inoltre, si può dedurre da tale dichiarazione che ciò che può permettere di avvicinare i sistemi extra-europei all’Unione, al fine di avere la possibilità di trasferire dati in conformità con le standard clauses, sono in primo luogo strumenti di ricorso efficaci, sia ad autorità indipendenti, sia giurisdizionali, a tutela degli interessati.

Tuttavia, riveste pari importanza la responsabilità in termini di controllo che è attribuita ai singoli titolari del trattamento nella scelta dei responsabili del trattamento [16], nel momento in cui devono accertare che questo non sia svolto in violazione del diritto alla protezione dei dati personali, tramite il trasferimento a Stati terzi che non forniscano adeguate garanzie equivalenti a quelle dell’Unione [17].

La pronuncia della Corte, inevitabilmente, apre la strada ad una potenziale sequenza di sospensioni e divieti di trasferimento, di cui potrebbero fare le spese numerosi colossi del web statunitensi, che potrebbero essere costretti a tenere i dati acquisiti dalle controllate con sede in Unione europea in server collocati all’interno di uno Stato membro.

 

 

Avv. Antonio Laudisa

Dr. Marco Della Bruna

 

 

Riferimenti

 

Immagine di Raniero Botti © 2016

 

[1] Decisione della Commissione del 26 luglio 2000 a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti.

[2] Decisione della Commissione del 5 febbraio 2010 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio.

[3] Articolo 7 – “Rispetto della vita privata e della vita familiare”

“Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni.”

Articolo 8 – “Protezione dei dati di carattere personale”

“Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.

Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.

Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.”

Articolo 47 – “Diritto a un ricorso effettivo e a un giudice imparziale”

“Ogni individuo i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo.

Ogni individuo ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni individuo ha la facoltà di farsi consigliare, difendere e rappresentare.

A coloro che non dispongono di mezzi sufficienti è concesso il patrocinio a spese dello Stato qualora ciò sia necessario per assicurare un accesso effettivo alla giustizia.”

[4] Decisione di esecuzione (UE) 2016/1250 della Commissione del 12 luglio 2016 a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

[5] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

[6] Cfr. la prima questione.

[7] Cfr. le questioni seconda, terza e sesta.

[8] Cfr. l’ottava questione.

[9] Cfr. le questioni settima e undicesima.

[10] Cfr. le questioni quarta, quinta, nona e decima.

[11] “2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione; […]

[12] Rubricato “Trasferimento soggetto a garanzie adeguate”, indica quali possono essere le garanzie adeguate che non necessitano di autorizzazioni specifiche di un’autorità di controllo, in mancanza di una decisione di adeguatezza.

[13] Per approfondire, cfr. https://www.theguardian.com/world/2013/jun/06/us-tech-giants-nsa-data e https://www.aclu.org/blog/national-security/privacy-and-surveillance/unprecedented-and-unlawful-nsas-upstream.

[14] La sezione 702 del Foreign Intelligence Surveillance Act autorizza le agenzie di intelligence nazionali ad acquisire informazioni su cittadini stranieri residenti al di fuori del territorio statunitense per scopi di “foreign intelligence”.

[15]https://edps.europa.eu/press-publications/press-news/press-releases/2020/edps-statement-following-court-justice-ruling-case_en.

[16] Cfr. Art. 28 del GDPR.

[17] Cfr. “Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems”, EDPB, 23 luglio 2020.