Condividi su

Normative: News Legali

23/12/2015
NEWS - Trattamento dei dati personali verso gli Stati Uniti: la Decisione "Approdo Sicuro" è stata dichiarata invalida dalla Corte di Giustizia

A cura dell'Avv. Tommaso Bagnulo

Con la sentenza C-362/14 la Corte di Giustizia ha scardinato il sistema di riferimento per il trasferimento e la protezione dei dati personali dall’Unione europea verso gli Stati Uniti, dichiarando invalida la Decisione 520/2000/CE, c.d. Safe Harbour; una decisione tanto nota alle imprese statunitensi quanto sconosciuta ai privati, titolari dei dati trasferiti.

Orbene, il casus belli è il seguente. Il Sig. Maximilian Schrems, cittadino austriaco, utilizzatore di Facebook dal 2008, ben consapevole del trasferimento dei propri dati personali dalla filiale irlandese di Facebook ai server ubicati negli Stati Uniti, dove sono oggetto di trattamento, ricorreva presso l’autorità irlandese di controllo al fine di rilevare una tutela non adeguata offerta dal diritto e dalla prassi americana alle informazioni personali trasferite verso tale paese.

L’autorità adita respingeva la denuncia limitandosi a richiamare la Decisione Approdo Sicuro del 26 luglio 2000 della Commissione Europea. Ad avviso dell’ATP, infatti, il regime dell’Approdo Sicuro non solo consente la libera circolazione di informazioni personali dagli Stati Membri dell’Unione Europea alle imprese site negli Stati Uniti ma garantisce altresì, da parte degli Stati Uniti, un livello di protezione dei dati personali trasferiti rispettoso dei requisiti stabiliti dalla normativa europea.

Orbene, il Sig. Schrems non soddisfatto della pronuncia, impugnava la deliberazione dell’ATP irlandese dinanzi l’Alta Corte irlandese, la quale con rinvio pregiudiziale interpellava a sua volta la Corte di Giustizia Europea per sapere se effettivamente la Decisione dell’Approdo Sicuro della Commissione avesse l’effetto di impedire a un’autorità nazionale di controllare e, se necessario, di sospendere il trasferimento dei dati contestato.

È allora in tale occasione che la Corte di Giustizia ha cercato di portare luce e chiarezza sulla struttura e sul funzionamento del regime Approdo Sicuro citato, rilevando importanti criticità.

Ed invero, a partire dal 2000, data della sua adozione, l’accordo Approdo Sicuro è diventato un veicolo per i flussi di dati personali fra l’Unione Europea e gli Stati Uniti, ma la minima mancanza di trasparenza e qualsiasi carenza da livello di applicazione minano le fondamenta su cui è costruito questo meccanismo. Difatti, si tratta di un meccanismo basato sull’adesione volontaria delle imprese americane, sulla loro autocertificazione e sul controllo, da parte delle autorità pubbliche, dell’attuazione degli impegni assunti con l’autocertificazione.

Orbene, secondo la Corte di Giustizia, proprio il ruolo svolto dalle autorità pubbliche smentisce l’assunto che il livello di protezione dei diritti fondamentali affermato nella Decisione sia equivalente a quello garantito nell’Unione. Difatti, da un lato le autorità pubbliche possono accedere ai dati personali trasferiti agli Stati Membri e trattarli in modo anche incompatibile con le finalità del loro trasferimento alla luce di fantomatiche superiori esigenze di carattere pubblico; dall’altro lato la normativa in questione non prevede alcuna facoltà per il singolo di esperire rimedi giuridici diretti a inibire un uso distorto dei propri dati da parte delle autorità pubbliche o comunque rimedi tali da consentire al privato di accedere ai propri dati personali o a ottenere la rettifica o la cancellazione degli stessi.

Alla luce di ciò, pertanto, la Corte ha dichiarato invalida la Decisione Approdo Sicuro e ha raccomandato alle autorità nazionali di esercitare compiutamente i propri poteri di controllo, in forza della Carta dei diritti fondamentali dell’Unione Europea, nel caso in cui una persona contesti la compatibilità della decisione con la tutela della vita privata e delle libertà e diritti fondamentali della persona negli Stati Uniti, in quanto tale paese non offre un livello di protezione dei dati personali adeguato.

Torna alle normative