Lo scorso 6 ottobre 2015 la Corte di Giustizia dell'Unione Europea ha  emesso sentenza sulla Causa C-362/14 (Maximillian Schrems v Data Protection Commissioner), dichiarando invalida la decisione della Commissione Europea sul c.d. programma "Safe Harbour".

Introduzione

Le Direttiva europea sulla privacy (Direttiva 95/46/EC) stabilisce che il trasferimento di dati personali verso un Paese non appartenente all'Area Economica Europea può, come regola generale, essere effettuato solo se tale Paese assicura un adeguato livello di protezione dei dati. La Direttiva stabilisce, inoltre, che la Commissione Europea possa verificare che un Paese terzo assicura un livello adeguato di protezione dei dati in ragione della propria legislazione nazionale o degli accordi presi a livello internazionale.

Nel luglio del 2000 la Commissione Europea adottò la Decisione 520/2000/CE (la "Decisione Safe Harbour"), riconoscendo che i c.d. Principi Safe Harbour sulla Privacy e le relative Domandi Frequenti, approvati dal Dipartimento del Commercio degli Stati Uniti, avrebbero assicurato un'adeguata protezione dei dati personali trasferiti dall'Europa alle società statunitensi aderenti al programma Safe Harbour.

Nel giugno del 2013 Maximillian Schrems, un utente austriaco di Facebook, presentò un reclamo all'Autorità garante della privacy irlandese, affermando che, alla luce delle rivelazioni fatte da Edward Snowden in merito alle attività dei servizi di intelligence statunitensi, le leggi degli Stati Uniti non offrissero sufficiente protezione dalla sorveglianza attuata dalle pubbliche autorità sui dati trasferiti negli USA. L'autorità irlandese archiviò il reclamo, asserendo, in particolare, che con la Decisione Safe Harbour la Commissione Europea avesse già verificato che, nell'ambito del programma Safe Harbour, gli Stati Uniti assicurassero un adeguato livello di protezione.

Il caso fu rimesso alla Corte Suprema irlandese, la quale, in sede di rinvio pregiudiziale, chiese alla Corte di Giustizia se, a seguito di un reclamo presentato da un cittadino, la Decisione Safe Harbour della Commissione impedisse effettivamente all'Autorità garante irlandese di verificare autonomamente il livello di protezione dei dati offerto dagli Stati Uniti d'America.

La decisione

La Corte di Giustizia ha risposto che l'esistenza di una decisione della Commissione, secondo la quale un paese terzo assicura un adeguato livello di protezione dei dati personali, non può né escludere né ridurre i poteri delle Autorità garanti nazionali. Pertanto, anche se la Commissione ha adottato una propria decisione, le Autorità nazionali, allorquando ricevano un reclamo da parte di un cittadino, devono poter valutare in completa indipendenza se il trasferimento dei dati in un paese terzo soddisfi i requisiti previsti dalla Direttiva.

L'aspetto più importante è, però, che la Corte ha altresì dichiarato invalida  la Decisione Safe Harbour, adducendo, come principale motivo, il fatto che il programma Safe Harbour non impedisce alle pubbliche autorità degli Stati Uniti di interferire con i diritti fondamentali delle persone.

La sentenza ha come conseguenza che l'Autorità garante irlandese dovrà esaminare il reclamo del Sig. Schrems e, all'esito dell'indagine, dovrà decidere se, alla luce della Direttiva, il trasferimento dei dati degli utenti di Facebook verso gli Stati Uniti debba essere sospeso, sulla base del fatto che gli USA sono un paese che non offre un adeguato livello di protezione dei dati.

Gli effetti della decisione

La decisione ha importanti conseguenze per le imprese europee che trasferiscono dati personali verso gli Stati Uniti. Infatti, le Autorità garanti nazionali non saranno più vincolate dalla Decisione Safe Harbour e potranno adottare i necessari provvedimenti nel caso in cui dovessero ritenere che i trasferimenti verso gli USA non rispettino la normativa sulla privacy. Di conseguenza, le imprese dovranno verificare i contratti in essere con le proprie controparti statunitensi e, qualora tali contratti facciano affidamento sul Safe Harbour come base giuridica per il trasferimento dei dati, dovranno far ricorso agli strumenti giuridici alternativi disponibili per trasferire dati personali verso gli Stati Uniti, come le clausole standard approvate dalla Commissione Europea.

Il Gruppo di Lavoro Art. 29 ha pubblicato un comunicato stampa, esprimendo l’intenzione di effettuare un’analisi coordinata della decisione della Corte e determinare gli effetti della stessa sui trasferimenti internazionali. Anche la Commissione Europea ha rilasciato una breve dichiarazione, impegnandosi a pubblicare presto ulteriori linee guida ed a lavorare a stretto contatto con le Autorità garanti nazionali, al fine di “[evitare] un mosaico di decisioni potenzialmente contradditorie da parte delle Autorità garanti nazionali e poter così dare delle certezze ai cittadini ed alle imprese”.

La situazione in Italia

Il Garante per la protezione dei dati personali ha rilasciato una propria dichiarazione, mettendo in rilievo il bisogno di un approccio coordinato tra tutte le Autorità garanti nazionali sulla questione.

Formalmente l’autorizzazione generale del Garante del 2011 sul Safe Harbour è ancora valida, non essendo stata ufficialmente revocata. Tuttavia, alla luce della sentenza della Corte di Giustizia ed essendo probabile che nei prossimi giorni il Garante revocherà tale autorizzazione, le imprese italiane non dovrebbero più fare affidamento sul Safe Harbour per trasferire dati personali verso gli USA, facendo invece ricorso agli strumenti giuridici alternativi disponibili, come le clausole standard approvate dalla Commissione Europea, che non sono state messe in discussione dalla decisione della Corte.