Gli Stati europei possono sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché questi non offrono “un livello di protezione dei dati personali adeguato”. Al social network si potrà dunque vietare di conservare negli Usa i dati personali degli iscritti. È una pronuncia destinata a far discutere quella diffusa oggi dalla Corte di Giustizia dell’Unione europea, che interviene sulla difesa della privacy in Europa e negli Stati Uniti. Il “caso Snowden” colpisce ancora.
La Corte di giustizia ha dichiarato invalida la decisione della Commissione europea che attestava (nel 2000) che gli Stati Uniti garantissero un adeguato livello di protezione dei dati personali trasferiti. E ha stabilito che le autorità nazionali di controllo possono esaminare se il trasferimento dei dati personali verso gli Usa rispetti i requisiti della normativa europea sulla protezione dei dati stessi.
Il caso scaturisce dalla denuncia di un cittadino austriaco, Maximilian Schrems, utente di Facebook dal 2008, che aveva presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 da Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti (in particolare della National Security Agency, o «NSA»), il diritto e le prassi statunitensi non offrissero una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese. L’Autorità irlandese aveva respinto la denuncia adducendo la decisione del 26 luglio 2000 con cui la Commissione ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro», gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti. Ma l’Alta Corte di giustizia irlandese, investita della causa, si è rivolta alla Corte di Giustizia.
Nella sua sentenza la Corte reputa che “l’esistenza di una decisione della Commissione che dichiara che un paese terzo garantisce un livello di protezione adeguato dei dati personali trasferiti non può sopprimere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della Carta dei diritti fondamentali dell’Unione europea e della direttiva”. Detto questo, per la Corte non ci sono ostacoli a che le autorità nazionali controllino i trasferimenti di dati personali verso paesi terzi oggetto di una decisione della Commissione e dunque, anche in sua presenza, “le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti i requisiti stabiliti dalla direttiva”.
La decisione della Commissione europea del 2000 è valida? No, secondo la Corte. Questa rileva infatti che il regime dell’approdo sicuro “è esclusivamente applicabile alle imprese americane che lo sottoscrivono e che, invece, le autorità pubbliche degli Stati Uniti non vi sono assoggettate. Inoltre, le esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi prevalgono sul regime dell’approdo sicuro, cosicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste da tale regime laddove queste ultime entrino in conflitto con tali esigenze – evidenzia la Corte!
Il regime americano dell’approdo sicuro rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone, e la decisione della Commissione non menziona l’esistenza, negli Stati Uniti, di norme intese a limitare queste eventuali ingerenze, né l’esistenza di una tutela giuridica efficace contro tali ingerenze”.
Dalle stesse comunicazioni adottate dalla Commissione europea in seguito è emerso che le autorità statunitensi potevano accedere ai dati personali trasferiti e trattarli anche con “un trattamento in eccesso” rispetto a quanto necessario per la difesa della sicurezza nazionale. Ma quando si parla di tutela dei diritti fondamentali e delle libertà nell’Unione europea, la Corte evidenzia che “nel diritto dell’Unione, una normativa non è limitata allo stretto necessario se autorizza in maniera generalizzata la conservazione di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione verso gli Stati Uniti senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione. La Corte soggiunge che una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata”. Per la Corte dunque “la decisione della Commissione del 26 luglio 2000 priva le autorità nazionali di controllo dei loro poteri nel caso in cui una persona contesti la compatibilità della decisione con la tutela della vita privata e delle libertà e diritti fondamentali delle persone. La Corte afferma che la Commissione non aveva la competenza di limitare in tal modo i poteri delle autorità nazionali di controllo”.
Detto questo, la Corte ha dunque dichiarato invalida la decisione della Commissione. Questo significa che “l’autorità irlandese di controllo è tenuta a esaminare la denuncia del sig. Schrems con tutta la diligenza necessaria e che a essa spetta, al termine della sua indagine, decidere se, in forza della direttiva, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato”.
