La Corte di Giustizia dell’Unione Europea (CGUE) ha recentemente invalidato l’accordo noto come Safe Harbor (letteralmente: “porto sicuro”) che autorizzava il trattamento dei dati dei cittadini europei su server negli Stati Uniti, secondo quanto era stabilito dal Dipartimento del Commercio statunitense relativamente alla raccolta, all’utilizzo e alla conservazione dei dati personali di aziende e clienti nell’Unione Europea.
Il problema riguarda le numerose società che spostano gli archivi degli utenti nei vari data center sparsi per il mondo, costringendole ora a seguire nel dettaglio specifiche regole di ogni stato membro, anziché poter contare sull’accordo sfruttato finora. Un procedimento legale era stato avviato da uno studente di legge austriaco, Maximilian Schrems, che ha fondato il movimento “L’Europa contro Facebook” lamentando un livello di protezione dei dati personali inadeguato.
Il social network ora chiede a USA e Unione europea di trovare al più presto una soluzione, “Un imperativo che consenta di assicurare di continuare a fornire metodi affidabili per il trasferimento legale di dati e risolvere qualsiasi questione relativa alla sicurezza nazionale”. Facebook ha negato di aver commesso illeciti evidenziando che “In discussione c’è uno dei meccanismi che la legge europea fornisce da anni per consentire il trasferimento transatlantico dei dati”. In un comunicato stampa diramato dalla Corte di giustizia dell’Unione europea sono indicati altri dettagli:
Il sig. Maximilian Schrems, un cittadino austriaco, utilizza Facebook dal 2008. Come accade per gli altri iscritti che risiedono nell’Unione, i dati forniti dal sig. Schrems a Facebook sono trasferiti, in tutto o in parte, a partire dalla filiale irlandese di Facebook, su server situati nel territorio degli Stati Uniti, dove sono oggetto di trattamento.
Il sig. Schrems ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo che, alla luce delle rivelazioni fatte nel 2013 da Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti (in particolare della National Security Agency, o «NSA»), il diritto e le prassi statunitensi non offrano una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese.
L’autorità irlandese ha respinto la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 20002, la Commissione ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro» (Safe Harbor, ndr), gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti.
La High Court of Ireland (Alta Corte di giustizia irlandese), investita della causa, ha chiesto di sapere se questa decisione della Commissione produca l’effetto di impedire ad un’autorità nazionale di controllo di indagare su una denuncia con cui si lamenta che un paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato.
Con la sua sentenza, la Corte reputa che l’esistenza di una decisione della Commissione che dichiara che un paese terzo garantisce un livello di protezione adeguato dei dati personali trasferiti non può sopprimere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della Carta dei diritti fondamentali dell’Unione europea e della direttiva. La Corte sottolinea, a questo proposito, il diritto alla protezione dei dati personali garantito dalla Carta e la missione di cui sono investite le autorità nazionali di controllo in forza della Carta medesima.
Le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti i requisiti stabiliti dalla direttiva.
Tale sentenza comporta la conseguenza che l’autorità irlandese di controllo è tenuta a esaminare la denuncia del sig. Schrems con tutta la diligenza necessaria e che a essa spetta, al termine della sua indagine, decidere se, in forza della direttiva, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato.
