• Home
  • News
  • Privacy: inadeguato l’accordo sulla protezione dati offerta dal regime dello scudo UE-USA

Privacy: inadeguato l’accordo sulla protezione dati offerta dal regime dello scudo UE-USA

La Corte di Giustizia UE dichiara invalida la decisione sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy. Infatti le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, dei dati trasferiti dall'Unione verso tale Paese terzo, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell'Unione, dal principio di proporzionalità visto che i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.

La Corte di Giustizia UE è stata chiamata a fornire chiarimenti, nella causa n. C-311/18, nell’ambito di una controversia che vede opposti il Data Protection Commissioner (Commissario per la protezione dei dati) a Facebook Ireland Ltd e al sig. Maximillian Schrems relativamente ad una denuncia presentata da quest’ultimo riguardo al trasferimento di dati personali da parte di Facebook Ireland Ltd a Facebook Inc. negli Stati Uniti.

In particolare Il sig. Schrems, cittadino austriaco residente in Austria, è iscritto alla rete sociale Facebook dal 2008. Al pari di quanto avviene per gli altri utenti residenti dell’Unione, i suoi dati personali sono trasferiti, in tutto o in parte, da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, ove sono oggetto di trattamento. Il sig. Schrems ha presentato all’autorità irlandese di controllo una denuncia diretta, in sostanza, a far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale paese. Tale denuncia è stata respinta, in particolare, sulla base del rilievo che nella sua decisione, la Commissione aveva constatato che gli Stati Uniti garantiscono un livello adeguato di protezione. Con sentenza pronunciata il 6 ottobre 2015 la Corte, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), ha dichiarato invalida tale decisione.

La Corte di Giustizia Ue nella sentenza del 16 luglio 2020 rileva innanzi tutto che ai sensi del regolamento generale sulla protezione dei dati (“RGDP”) il trasferimento dei dati personali verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione. In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi. Il RGDP stabilisce precisamente, inoltre, a quali condizioni può avvenire un trasferimento siffatto in mancanza di una decisione di adeguatezza o di garanzie adeguate.

La valutazione del livello di protezione dei dati trasferiti deve considerare dunque quanto è stipulato contrattualmente tra l'esportatore dei dati stabilito nell'Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato ma anche il sistema giuridico relativo ad un eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti.

Le autorità sono tenute a sospendere o vietare un trasferimento di dati personali verso un Paese terzo quando ritengano che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale Paese e che la protezione dei dati trasferiti, richiesta dal diritto dell'Unione, non possa essere garantita con altri mezzi.

Secondo la Corte, la validità della decisione 2010/87 (relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi) non è rimessa in discussione dal solo fatto che le clausole tipo di protezione dei dati contenute in quest’ultima, per il loro carattere contrattuale, non vincolano le autorità del Paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati. Per contro, la Corte precisa che tale validità dipende dalla questione se la suddetta decisione contenga meccanismi efficaci che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. La Corte ha constatato che la decisione 2010/87 instaura meccanismi di questo tipo sottolineando che stabilisce un obbligo per l'esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel Paese terzo considerato. Inoltre la decisione impone al suddetto destinatario di informare l'esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l'onere, in tal caso, per quest'ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.

Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, dei dati trasferiti dall’Unione verso tale Paese terzo, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati, diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.

La Corte ritiene che, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi.

Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250 della Commissione sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.

Corte di Giustizia UE, sentenza 17/07/2020, causa n. C-311/18

Fonte: https://www.ipsoa.it/documents/impresa/contratti-dimpresa/quotidiano/2020/07/17/privacy-inadeguato-accordo-protezione-dati-offerta-regime-scudo-ue-usa

Iscriviti alla Newsletter




È necessario aggiornare il browser

Il tuo browser non è supportato, esegui l'aggiornamento.

Di seguito i link ai browser supportati

Se persistono delle difficoltà, contatta l'Amministratore di questo sito.

digital agency greenbubble