Privacy e Facebook: rapporti tra U.E. e U.S.A. alla luce della nuova sentenza della CGUE

Corte di giustizia UE, causa C-362/14, 7 ottobre 2015 (leggi la sentenza)

La Corte di giustizia, con la sentenza del 7 ottobre 2015 nella causa C-362/14, ha drasticamente segnato un punto di non ritorno nel percorso di definizione ed individuazione dei confini del diritto alla privacy. Dopo le storiche sentenze Digital Rights Ireland (aprile 2014) e Google Spain (maggio 2014), un altro tassello va ad aggiungersi al mosaico con cui i giudici lussemburghesi stanno progressivamente rielaborando il contenuto della tutela dei dati personali in Europa con notevoli implicazioni nel rapporto con le norme privacy U.S.A..

La decisione della Corte deriva da un’iniziativa legale avviate da Max Schrems, un attivista per la privacy che ha fatto causa a Facebook in Irlanda, dicendo che il suo diritto alla riservatezza era stato violato in seguito ai programmi di sorveglianza di massa della NSA, rivelati dall’ex collaboratore della CIA Edward Snowden. Schrems è austriaco ma aveva fatto causa in Irlanda perché è lì che Facebook ha la sua sede principale in Europa. La sua iniziativa legale era stata inizialmente respinta dall’autorità per la privacy irlandese, proprio perché ricadeva sotto il “Safe Harbor”; Schrems fece appello e alla fine portò il caso alla Corte di giustizia dell’Unione Europea. La sentenza di oggi, che ha dato sostanzialmente ragione a Schrems, è definitiva e non può essere appellata.

In particolare, la sentenza impatta fortemente su una delle pietre miliari su cui si fonda il trasferimento di dati personali al di fuori dell’Unione Europea specialmente verso gli Stati Uniti in considerazione, soprattutto, della mole di dati che quotidianamente vengono migrati oltreoceano (banalmente, dai dati dei profili facebook ed in generale dei social network fino a servizi di cloud o altro). Ci si riferisce alla decisione 2000/520/UE con cui nel 2000 la Commissione europea aveva accertato, in conformità a quanto previsto dall’art. 25 della direttiva 95/46 («Direttiva Data Protection»), che l’ordinamento statunitense garantisse un livello adeguato di protezione dei dati personali, condizione per il loro trasferimento verso paesi terzi. Tale articolo, infatti, per un verso, subordina la possibilità di effettuare un trasferimento di dati all’esterno dell’Unione europea alla condizione che lo stato terzi assicuri, per l’appunto, un grado di tutela adeguato; per altro verso, affida alla Commissione il compito di valutare l’adeguatezza di tale tutela, sulla base delle disposizioni di diritto interno e degli accordi internazionali cui lo stato terzo è parte.

Sotto altro profilo, rileva altresì l’art. 28 della direttiva che attribuisce alle autorità di protezione dei dati personali dei singoli paesi nazionali ampi poteri sul rispetto delle disposizioni previste dalla direttiva, tramite poteri investigativi e di intervento o, addirittura, il coinvolgimento in procedimenti scaturiti dalla violazione delle suddette norme da parte dei rispettivi Stati membri.

La pronuncia della Corte del Lussemburgo interviene su entrambi i profili. Per un verso, infatti, stabilisce che l’esistenza di una decisione come quella adottata dalla Commissione nel 2000 non priva le autorità nazionali di regolazione del potere di conoscere eventuali ricorsi da parte degli interessati che lamentino che lo stato terzo verso cui i rispettivi dati personali sono trasferiti non garantisca un adeguato livello di protezione. Per altro verso, la Corte di giustizia invalida la decisione 2000/520, con la quale la Commissione aveva accertato che il safe harbor, ossia l’insieme di tutela predisposte nell’ordinamento statunitense a presidio dei dati personali, definisse un livello di protezione adeguato.

La pronuncia della Corte di giustizia è destinata a sollevare, proprio nei mesi in cui la decisione sulla valutazione di idoneità della tutela prevista nell’ordinamento statunitense era avviata a una fase di discussione, un ampio dibattito sulle conseguenze cui essa apre e che si prospettano di qui alle prossime settimane.

È indiscusso che tale scelta non sia stata condizionata anche da vicende politiche come, ad esempio, il recente scandalo NSA. Così, rimane difficilmente misurabile il grado in cui la sentenza costituisce una reazione a un atteggiamento di comprovato sfavore rispetto alla tutela dei dati personali emerso Oltreoceano, nei tempi più recenti.

Rimane in ogni caso una pronuncia di grande impatto che consegna sì all’attualità una problematica tutt’altro che agevole, in un’epoca in cui il trasferimento di dati verso i confini extra-UE ha assunto mole e rapidità inedite.

16 ottobre 2015

Franco Pizzabiocca – f.pizzabiocca@lascalaw.com

Print Friendly

Condividi su

Potrebbe interessarti anche

In data 19 giugno 2018 è stata pubblicata nella Gazzetta Ufficiale dell’Unione europea la Diretti...

Antiriciclaggio

In data 5 giugno 2018 è stato pubblicato nella Gazzetta Ufficiale della Repubblica Italiana il D.Lg...

Antiriciclaggio

In data 4 giugno 2018, la Consob ha adottato la Comunicazione n. 0186002 recante “Criteri e metodo...

Antiriciclaggio