La sentenza “Schrems 2” e la coazione a ripetere. Esigenze economiche e diritti fondamentali nel trasferimento di dati personali fra Unione Europea e Stati Uniti

Alessandro Pillittu analizza, alla luce di una recente sentenza della Corte di Giustizia Europea, il riaccendersi del conflitto legale tra Unione Europea e Stati Uniti per quanto riguarda il trasferimento e la tutela dei dati personali. La Corte ha giudicato non sufficiente la tutela offerta dal sistema giuridico statunitense imponendo un nuovo negoziato fra le parti ed aprendo la strada a sviluppi che potrebbero avere rilevanti ricadute economiche e geopolitiche.

Nascosta negli interstizi lasciati liberi dal dibattito sull’istituzione del c.d. Recovery Fund, la notizia della sentenza della Corte di Giustizia Europea che, nella causa C311/18, ha dichiarato l’invalidità della decisione n. 2016/1250 della Commissione e, quindi, sancito l’inadeguatezza della protezione offerta, dall’accordo fra Unione Europea e Stati Uniti denominato “Privacy Shield”, ai dati personali trasferiti oltreoceano dal Vecchio Continente merita di essere attentamente valutata.

Di che parliamo? Per comprenderlo, e delineare meglio la portata della decisione, occorre ricostruire per sommi capi la storia recente dei rapporti fra UE e Stati Uniti in materia di trasferimento dei dati personali.

In origine era la direttiva 95/46/CE a dettare principi (art. 25) e deroghe (art. 26) concernenti il trasferimento dei dati verso i Paesi terzi. L’architrave giuridica del sistema era la necessità di assicurare, nel Paese di approdo dei dati, una tutela sostanzialmente pari a quella predisposta, negli stati membri, dal diritto comunitario posto dalla predetta direttiva. Occorreva, al riguardo, considerare, fra le altre circostanze, “la natura dei dati”, “le finalità del trattamento”, “le norme di diritto generali o settoriali vigenti nel Paese terzo” (art. 25 § 2 direttiva).

Sulla base di tali principi, delineanti il “sistema dell’approdo sicuro”, la Commissione Europea, nel 2000, aveva adottato la decisione n. 2000/520/CE, che aveva sancito l’adeguatezza del livello di protezione offerto ai dati personali trasferiti dall’UE alle organizzazioni stabilite negli USA alla luce dell’attuazione dei principi elencati nella decisione (allegato 2) tramite le “domande più frequenti” (FAQ) pubblicate dal Dipartimento del Commercio degli Stati Uniti, che erano destinate a fornire, alle organizzazioni statunitensi, indicazioni operative e di dettaglio tramite i quali assicurare il rispetto dei predetti principi.

Accanto ad essa la Commissione aveva adottato prima la decisione 2002/16/CE e successivamente la n. 2010/87/UE, in applicazione dell’art. 26 della predetta direttiva, in ordine ai trasferimenti effettuati verso Paesi terzi che non garantiscono adeguati livelli di protezione, subordinati alle garanzie fornite dalla predisposizione di adeguate clausole contrattuali (che di seguito chiameremo anche SCC), il cui contenuto di principio è indicato dall’articolo innanzi richiamato.

La differenza fra le due è sostanziale, poiché tramite l’accordo “Safe Harbour” si consentiva alle imprese (ad esempio Google, Microsoft e simili) di operare il trasferimento dei dati senza dover verificare l’adeguatezza della tutela offerta alla protezione dei medesimi nel Paese di approdo, perché presuntivamente stabilita dall’accordo “Safe Harbour”, mentre l’utilizzo delle clausole standard determinava proprio l’assunzione di responsabilità diretta di esportatore ed importatore in ordine a tale verifica.

Le inchieste del 2013, nate sull’onda delle sconcertanti rivelazioni relative ai programmi di sorveglianza di massa posti in essere dagli Stati Uniti in tutto il mondo, hanno evidenziato come gli USA, per diversi decenni, abbiano trattato, estendendo a dismisura i limiti della finalità di sicurezza nazionale, una massa indefinita di dati personali, accedendo anche a quelli provenienti dall’Unione Europea. Pertanto la Commissione, a novembre dello stesso anno, ha dovuto verificare l’effettività della tutela garantita oltreoceano ai dati personali dei cittadini europei.

Nell’ottobre del 2015 era poi intervenuta la Corte di Giustizia che, con la prima sentenza Schrems (Causa C-362/14) aveva dichiarato l’invalidità della decisione 2000/520/CE e rilevato come la Commissione non avesse affermato che gli Stati Uniti d’America “garantiscono” effettivamente un livello di protezione adeguato, in considerazione della loro legislazione nazionale o dei loro impegni internazionali.

Per fornire una “protezione adeguata” il paese terzo avrebbe dovuto assicurare un livello di guarentigie delle libertà e dei diritti fondamentali «sostanzialmente equivalente» a quello garantito all’interno dell’Unione in forza della direttiva 95/46/CE, letta alla luce della Carta dei diritti fondamentali. Anche se gli strumenti dei quali tale paese terzo si fosse avvalso potevano essere diversi da quelli attuati all’interno dell’Unione, tali strumenti dovevano cionondimeno rivelarsi efficaci nella prassi.

La Corte aveva criticato il fatto che, nella decisione 2000/520/CE, mancassero dichiarazioni sufficienti quanto all’esistenza, negli Stati Uniti: a) di norme statali destinate a limitare le eventuali ingerenze nei diritti fondamentali delle persone i cui dati venissero trasferiti dall’Unione verso gli stessi USA, ingerenze che entità statali di tale paese sarebbero state autorizzate a compiere perseguendo obiettivi legittimi, come la sicurezza nazionale; b) di una tutela giuridica efficace nei confronti delle ingerenze di tale natura.

La Commissione aveva, dunque, sostituito la decisione invalidata dalla Corte di Giustizia con la n. 2016/1250, mediante la quale aveva affermato che gli Stati Uniti garantiscono un livello di protezione adeguato dei dati personali trasferiti dall’Unione alle organizzazioni statunitensi che si erano autocertificate come aderenti al regime di quello che veniva denominato “Scudo UE-USA per la Privacy”. Pertanto veniva autorizzato il trasferimento dei dati personali dai titolari o responsabili del trattamento nell’Unione alle organizzazioni presenti negli USA che si erano autocertificate, presso il Dipartimento del Commercio, come aderenti ai principi elencati nella medesima decisione e si erano impegnate a conformarsi ad essi. I principi dovevano applicarsi al trattamento dei dati personali svolto da organizzazioni statunitensi esclusivamente al di fuori dell’ambito di applicazione della normativa dell’Unione e rimaneva impregiudicata l’applicazione della normativa dell’Unione regolante il trattamento dei dati personali negli Stati membri.

Nelle more è stato adottato l’ormai noto G.D.P.R. (Reg. 2016/679) che, sul punto, ha sostanzialmente trasfuso il contenuto degli articoli 25 e 26 della direttiva 95/46/CE nelle disposizioni contenute nei paragrafi 44 e seguenti.

Sul sopra descritto si è abbattuta la sentenza del 16 luglio 2020 che, come la precedente del 2014, ha dichiarato l’invalidità della decisione n. 1250/2016 ed ha posto principi piuttosto stringenti al sistema dettato dalla decisione 2010/87/UE concernente le clausole contrattuali standard.

Il Sig. Schrems aveva nuovamente chiesto di vietare il trasferimento dei suoi dati da Facebook Ireland ai server di Facebook Inc. situati negli Stati Uniti, lamentando l’inadeguatezza della protezione offerta dal sistema giuridico americano rispetto ai trattamenti effettuati dalle agenzie governative.

La Corte, dopo aver ribadito l’applicabilità dei principi posti dal GDPR a tale trasferimento (punti 85/89) ha deciso vietando il trasferimento effettuato da Facebook Ireland verso server situati negli Stati Uniti, sulla base dell’assunto che diritto e prassi degli Stati Uniti non assicurino ai dati trasferiti verso tale Paese una protezione sufficiente contro l’accesso da parte delle pubbliche autorità. In particolare la Corte ha rilevato che, sulla base del Foreign Intelligence Surveillance Act (FISA) del 1978 e dell’Executive Orders 12333 (E.O. 12333) del 1981, l’accordo Ue-Usa offre uno spazio d’ingerenza alle agenzie dell’Intelligence statunitensi sui dati personali di cittadini europei in transito da e verso gli Stati Uniti, in violazione degli articoli 7 e 8 della Carta dei diritti dell’Unione.

La Corte afferma, in particolare, che le ingerenze risultanti dai programmi di sorveglianza fondati sull’articolo 702 del FISA e sull’E.O. 12333 non sarebbero soggette a requisiti che garantiscano, nel rispetto del principio di proporzionalità, un livello di protezione sostanzialmente equivalente a quello garantito dall’articolo 52, paragrafo 1, seconda frase, della Carta (di particolare interesse, al riguardo, i punti da 171 a 182 della sentenza in commento).

La Corte ha, tuttavia, salvato la sezione della Decisione relativa alle SCC ma ha sottoposto l’uso di tali clausole a condizioni maggiormente stringenti: i trasferimenti di dati personali effettuati grazie a dette clausole debbono essere sospesi o vietati in caso di violazione delle stesse o di impossibilità di rispettarle. Una circostanza, questa, di cui deve accertarsi, in via preliminare, l’esportatore dei dati (cioè il titolare o il responsabile del trattamento avente sede nell’Unione Europea). Inoltre, è obbligo del destinatario extra Ue informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.

Allo stato attuale, dunque, come già autorevolmente affermato, le organizzazioni che hanno necessità di trasferire dati dall’Unione Europea verso gli Stati Uniti hanno innanzi il seguente quadro normativo:

  • L’art. 45 GDPR, che legittima il trasferimento dei dati sulla base di una decisione di adeguatezza; è, in pratica, il sistema dello scudo che, sulla base della decisione 2016/1250, è stato invalidato e che, presumibilmente, dovrà essere oggetto di un nuovo negoziato bilaterale UE-USA.
  • L’art. 46, comma 2, lett. b, in combinato disposto con l’art. 47 GDPR, cioè le norme vincolanti d’impresa, meccanismo che può essere utilizzato dalle (grandi) imprese per i trasferimenti infragruppo sottoponendo delle regole di trasferimento, in via preventiva, all’autorità di controllo competente e ottenendo una sorta di autorizzazione preventiva e personale a effettuare i trasferimenti sulla base delle regole approvate.
  • L’art. 46, comma 2, lett. c, cioè le summenzionate SCC, che però, dopo la sentenza Schrems II, possono essere utilizzate solo a condizione che il titolare europeo esportatore dei dati possa garantire che tali clausole siano, e possano, essere rispettate nell’ambito del territorio statunitense dall’importatore dei dati (il quale rimane, comunque, soggetto ai penetranti poteri d’indagine dei servizi d’Intelligence degli Stati Uniti); in altri termini, il ricorso alle SCC per gli Stati Uniti, in seguito alla sentenza Schrems II, appare essere maggiormente rischioso per le società europee esportatrici di dati.
  • L’art. 49, comma 1, GDPR, infine, offre uno strumento residuale che può essere utilizzato solamente in mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, se l’interessato abbia espressamente acconsentito al trasferimento dopo essere stato adeguatamente informato dei rischi o se il trasferimento sia necessario per una serie di motivi tra cui l’esecuzione di un contratto, importanti motivi d’interesse pubblico, esercitare un diritto in sede giudiziaria. L’art. 49, tuttavia, come interpretato dall’EPDB, deve essere utilizzato solo in via residuale e non come base normativa ordinaria per effettuare trasferimenti di dati dalla Ue agli Usa.

In conclusione, appare evidente come la sentenza in commento, seppur del tutto condivisibile, a parere di chi scrive, sotto il profilo giuridico, avuto riguardo ai principi affermati dagli articoli 7 ed 8 della Carta dei diritti dell’Unione, costringa oggi le imprese che intendano trasferire dati dalla Ue agli Stati Uniti ad avvalersi unicamente delle SCC: si tratta, tuttavia, di una soluzione che espone l’impresa europea esportatrice di dati, come anche quella statunitense destinataria, a diversi rischi in quanto la legittimità del trasferimento è condizionata a rilevanti assunzioni di responsabilità in ordine all’effettivo rispetto di quanto stabilito nella clausola standard adottata. Responsabilità e rischi che, come nel caso in questione, le imprese non hanno alcuna intenzione di assumere direttamente. Si apre, dunque, un periodo d’incertezza in un settore fondamentale per lo sviluppo di strategie commerciali delle grandi imprese continentali e statunitensi, che non potrà non avere rilevanti effetti da un punto di vista geopolitico.

Schede e storico autori