La Corte di Giustiza dell’Unione Europea, con una sentenza che rimarrà nella storia, ha oggi dichiarato invalida la Decisione 2000/520/CE della Commissione Europea, sulla adeguatezza della protezione offerta dai principi di approdo sicuro (“cd. Safe Harbour”). Moltissime aziende con sede negli Usa ed operanti anche nell’Unione Europea hanno fino ad oggi fatto affidamento sul Safe Harbour per trasferire dati personali dall’Europa agli Stati Uniti: il sistema prevede la volontaria (e pubblica) adesione dell’azienda ai principi del Safe Harbour ed il suo assoggettamento alla supervisione della Federal Trade Commission per quanto riguarda il rispetto di tali principi.
Il caso è sorto nell’ambito di una controversia tra un cittadino austriaco, Max Schrems, e l’autorità Privacy irlandese, alla quale, nel 2013, il Sig. Schrems si era rivolto a seguito delle dichiarazioni di Snowden relative alle attività di controllo svolte dalla National Security Agency. Il Sig. Schrems – utente di Facebook ed i cui dati erano oggetto di trasferimento dalla filiale irlandese di Facebook alla sede principale della medesima negli Usa – aveva denunciato all’autorità irlandese la inadeguatezza dell’ordinamento statunitense ad impedire il controllo indiscriminato sui dati trasferiti dall’Europa agli Stati Uniti. La causa era poi proseguita davanti alla Corte Suprema Irlandese, a seguito del rifiuto, da parte dell’autorità Privacy, di investigare sull’adeguatezza dell’ordinamento statunitense, ritenendosi vincolata alla sopra citata Decisione della Commissione sul Safe Harbour. La Corte Suprema Irlandese aveva rimesso alla Corte di Giustizia dell’Unione Europea la questione, chiedendo se la Decisione della Commissione sul Safe Harbour potesse avere come effetto quello di impedire ad una autorità nazionale di pronunciarsi su un ricorso concernente la inadeguatezza del livello di protezione assicurato da un paese terzo e, in caso positivo, di bloccare il trasferimento dei dati verso quel paese terzo.
La Corte di Giustizia ha anzitutto chiarito che la Decisione della Commissione sul Safe Harbour non limita i poteri delle autorità nazionali, le quali possono e devono investigare sulla conformità di un trasferimento di dati personali verso un Paese Terzo ai principi della Direttiva Privacy. Tuttavia, chiarisce la Corte, la valutazione sul livello di adeguatezza della protezione dei dati personali offerto dal Paese Terzo è una valutazione rimessa alla Commissione Europea e solo la Corte può dichiarare invalida una decisione della Commissione Europea.
Ma la Corte di Giustizia non si ferma qua, e con questa sentenza esamina in dettaglio la questione della validità della Decisione della Commissione sul Safe Harbour. In particolare, tale Decisione prevede espressamente che le aziende statunitensi che vi aderiscono possano derogare ai principi del Safe Harbour se lo richiede la sicurezza nazionale, l’interesse pubblico o l’applicazione di una legge, consentendo dunque alle autorità nazionali di pubblica sicurezza statunitensi di accedere indiscriminatamente ai dati personali ed interferire nei diritti fondamentali delle persone i cui dati sono trasferiti dall’Unione Europea agli Stati Uniti. In particolare la Corte rileva come tale accesso avvenga appunto senza alcuna limitazione relativa alla necessità e proporzionalità del trattamento, che sono invece principi fondamentali contenuti nella Direttiva Privacy e su cui si fondano le legislazioni degli Stati Membri dell’Unione Europea. Per questi motivi la Corte ha dichiarato invalida la Decisione sul Safe Harbour.
Le conseguenze pratiche di questa decisione non sono il blocco automatico di tutti i trasferimenti di dati personali dall’Unione Europea agli Stati Uniti, né la necessità per le aziende operanti dagli Stati Uniti di trasferire i propri server in Europa, né ci sarà un impatto immediato sulla privacy dei cittadini Europei. Le aziende statunitensi che fanno affidamento sul Safe Harbour per il trasferimento dei dati dalle proprie filiali europee, infatti, potrebbero comunque fondare tale trasferimento su sistemi alternativi come la conclusione di contratti per il trasferimento di dati basati sulle clausole contrattuali standard approvate dalla Commissione Europea, che sono già oggi molto diffuse tra le multinazionali e non sono oggetto di questa decisione.
Chi deciderà di continuare a fare affidamento sul Safe Harbour ovviamente sarà consapevole del fatto che si tratta di uno strumento non adeguato a garantire la legittimità del trasferimento verso gli Stati Uniti. Il fatto che la Corte di Giustizia rimandi le decisioni – in caso di contestazione – alle autorità nazionali potrebbe portare ad una differenza di posizioni tra i vari Stati Membri che sicuramente non va nella direzione della armonizzazione e della certezza del diritto, condizioni essenziali per garantire la circolazione di dati personali che – oggi più che mai – è alla base delle sviluppo economico e dell’innovazione di ogni Paese.
Per questo motivo è sicuramente auspicabile che le istituzioni europee lavorino insieme alle autorità americane alla revisione degli accordi sul Safe Harbour, e che le autorità nazionali dei vari Stati membri adottino quanto prima una posizione comune o linee guida condivise sul tema, cosa che ha lasciato intendere il presidente del Garante Antonello Soro nella dichiarazione odierna rilasciata a commento della sentenza.
