Questa pronuncia trae origine dalla denuncia formulata dal sig. Schrems, cittadino austriaco iscritto alla piattaforma social Facebook, con la quale chiedeva all’autorità nazionale irlandese di vietare a Facebook Ireland di trasferire i suoi dati personali verso gli Stati Uniti (alla Facebook Inc.), sostenendo che il diritto e le prassi vigenti in tale paese non offrivano una protezione sufficiente dei dati personali conservati nel territorio del medesimo paese rispetto alle attività di sorveglianza ivi praticate dalle autorità pubbliche. Una volta adita l’High Court irlandese, questa ha sottoposto alla Corte di giustizia dell’Unione Europea, mediante rinvio pregiudiziale, diverse questioni concernenti l’interpretazione di alcune norme del GDPR, nonché la validità di due decisioni della Commissione europea relative alle valutazioni d’adeguatezza del regime di protezione dati offerto da paesi terzi verso cui dati di cittadini europei vengano trasferiti.
Con la sentenza qui riportata (che fa seguito alla prima pronuncia sul caso Schrems, sentenza del 6 ottobre 2015, C-362/14), la Corte di giustizia dell’Unione Europea conferma la validità della decisione della Commissione 2010/87 del 5 febbraio 2010, relativa alle clausole contrattuali standard / tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi, mentre dichiara invalida la decisione 2016/1250 del 12 luglio 2016, sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy.
L’invalidità di tale ultima decisione viene fondata sulla considerazione che le limitazioni alla protezione dei dati personali che derivano dalla normativa interna degli Stati Uniti in materia di accesso e utilizzo, da parte delle autorità pubbliche statunitensi, comprese quelle d’intelligence, di tali dati trasferiti dall’Unione verso gli Stati Uniti (si tratta in particolare delle ingerenze risultanti dai programmi di sorveglianza fondati sulla Section 702 del Foreign Intelligence Surveillance Act del 1978 e sull’Executive Order presidenziale 12333 del 1981, come modificati nel 2008) non sono inquadrate in modo da corrispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dall’articolo 52, paragrafo 1, seconda frase, della Carta di Nizza.
Inoltre, la Corte europea ritiene che le lacune constatate dalla stessa Commissione per quanto riguarda la tutela giurisdizionale delle persone i cui dati personali sono trasferiti verso gli Stati Uniti (da prendere in considerazione, ai sensi dell’articolo 45, § 2, lett. a) GDPR nel valutare l’adeguatezza del livello di protezione garantito da un paese terzo) non possono considerarsi colmate dall’istituzione statunitense del Mediatore dello scudo per la privacy. Tale organo infatti, non offre alle persone i cui dati sono trasferiti verso gli Stati Uniti garanzie sostanzialmente equivalenti a quelle richieste dall’articolo 47 della Carta, dal momento che: (i) la sua diretta dipendenza dal Segretario di Stato statunitense ne mette in dubbio l’indipendenza dal potere esecutivo; (ii) non sono previste indicazioni che tale Mediatore sia autorizzato ad adottare decisioni vincolanti nei confronti dei servizi di intelligence; (iii) non sono previste garanzie giuridiche da cui sarebbe contornato il suddetto intervento e delle quali potrebbero avvalersi gli interessati.
Per approfondire: si rimanda al Comunicato Stampa della Corte di giustizia dell’Unione europea n. 91/20 del 16 luglio 2020; nonché alle Domande più frequenti elaborate dall’European Data Protection Board.
With this ruling (which follows the first ruling on the Schrems case, judgment of 6 October 2015, C-362/14), the Court of Justice of the European Union confirms the validity of European Commission Decision 2010/87 of 5 February 2010 on standard/type contractual clauses for the transfer of personal data to data processors established in third countries, while it declares Decision 2016/1250 of 12 July 2016 on the adequacy of the protection offered by the EU-US privacy shield regime invalid.
The invalidity of the latter decision is based on the consideration that the limitations to the protection of personal data that derive from US domestic regulations on access and use by US public authorities, including intelligence authorities, such data transferred from the Union to the United States (in particular interference resulting from surveillance programmes based on Section 702 of the Foreign Intelligence Surveillance Act of 1978 and Presidential Executive Order 12333 of 1981, as amended in 2008) are not framed in such a way as to meet requirements substantially equivalent to those required under Union law by the second sentence of Article 52(1) of the Nice Charter.
