- Fatto e vicende processuali – Irish High Court n. 545/2017
Per comprendere la portata della recente pronuncia della Irish High Court n. 545/2017, la quale sarà oggetto di approfondimento in questa sede, è opportuno procedere anzitutto ad una breve ricostruzione delle complesse vicende processuali che ne costituiscono gli antecedenti.
Fu un viaggio in California dell’ “attivista” austriaco Max Schrems nel 2011, e la contestuale scoperta che Facebook Inc possedeva circa 1200 pagine di informazioni a lui afferenti, il fatto da cui scaturirono i contenziosi legali del caso, tutti fondamentalmente riconducibili – quanto alla questione giuridica principale – alla garanzia del diritto alla privacy individuale ogniqualvolta vi sia un trasferimento di dati in paesi terzi la cui legislazione prevede livelli di tutela inferiori rispetto a quelli del diritto dell’UE.
Nel 2013, invero, il signor Schrems presentò all’Irish Data Protection Commissioner un formale reclamo contro Facebook Ireland ritenendo che il trasferimento, da parte del provider, dei dati personali del suo account a Facebook Inc., avente sede negli Stati Uniti, costituisse violazione, in particolare, dei diritti riconosciuti nella Carta dei diritti fondamentali dell’Unione europea [di seguito “Carta”]alla vita privata (art. 7) e alla protezione dei dati di carattere personale (art. 8). Tale reclamo si basava invero sul presupposto che la legislazione statunitense non garantisse una protezione dei dati personali equivalente[1] a quella prevista dal diritto dell’Unione europea, privilegiando quindi gli “obiettivi” di sicurezza nazionale (attraverso la c.d. mass surveillance) sulla garanzia della privacy degli utenti.
Tuttavia l’Irish Data Protection Commissioner rigettò, in un primo momento, tale reclamo e si rifiutò quindi di effettuare più approfondite investigazioni sulle questioni sollevate dal signor Schrems, richiamando sul punto la Decisione della Commissione Europea 2000/520/CE. Invero la Commissione, con questa, aveva sancito l’adeguatezza del livello di protezione – assicurato dalle imprese enti sede negli Stati Uniti ed aderenti al c.d. accordo del “Safe Harbour” – ai livelli minimi di tutela dei dati personali che avrebbero dovuto essere garantiti, agli interessati, in forza della normativa europea ed, in particolare, dalla Direttiva 95/46/CE.
Il ricorrente signor Schrems adì tuttavia la Irish High Court avverso il rigetto del suo reclamo e, seguitamente al suo ricorso, questa sollevò dinanzi alla Corte di giustizia [di seguito “Corte”]questione di validità della summenzionata Decisione della Commissione relativa ai safe harbour principles. Il principale punto controverso in diritto era invero se tale atto “validasse” tout court il livello di tutela della privacy garantito negli USA, impedendo conseguentemente all’autorità garante irlandese di verificare autonomamente il livello di protezione dei dati ivi in essere.
In data 6 ottobre 2015, la Corte dichiarò[2] invalida la predetta Decisione della Commissione in base ad un’interpretazione dell’art. 25, comma 6, della Direttiva 95/46/CE[3] conforme agli art. 7, 8, 47 della Carta. Secondo il reasoning della Corte, invero, lo U.S.-EU Safe Harbor Framework non poteva legittimamente impedire l’attività di verifica, da parte dell’autorità nazionale di uno Stato membro, sull’adeguatezza del livello di protezione dei dati personali garantiti da un paese terzo in cui questi erano stati trasferiti, come peraltro previsto ex art. 28 di tale Direttiva[4].
A seguito di tale decisione, Facebook Ireland e Facebook Ink stipularono quindi, in data 27 Novembre 2015, un contratto grazie a cui vennero definiti tutti gli aspetti relativi al data sharing, con la conseguente garanzia della seconda di seguire i principi sulla privacy del diritto dell’Unione in materia. In tale accordo vennero infatti incorporate le c.d. standard contractual clauses, ovvero uno strumento previsto dal diritto dell’Unione, elaborato dalla Commissione e utilizzato dalle imprese per il trasferimento dei dati extra UE, come alternativo a modalità generali di data transfer. Tali clausole prevedono invero obblighi reciproci di tutela della privacy in capo al soggetto esportatore e importatore di informazioni personali ed, in particolare, la garanzia che i dati saranno “trattati” conformemente ai principi stabiliti nella citata Direttiva, anche quando utilizzati nel Paese terzo di destinazione[5].
Tali contractual clauses trovano invero una loro base legale nella Decisione della Commissione 2010/87/UE, secondo cui (art. 1): «Le clausole contrattuali […] costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e della libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi ai sensi dell’articolo 26, paragrafo 2, della Direttiva 95/46/CE». Quest’ultima richiamata disposizione normativa prevede quindi che «uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato […] qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate».
A seguito di tali vicende processuali, il signor Schrems presentò quindi all’Irish Data Protection Commissioner, in data 1 dicembre 2015, un ulteriore reclamo – evidentemente connesso al precedente – sostenendo che i propri dati personali, utilizzati da Facebook Inc, sarebbero quantomeno resi disponibili alle autorità governative statunitensi, anche grazie a programmi di spionaggio, posti da queste in essere, in aperta violazione del suo diritto alla privacy. Chiese pertanto alla competente autorità di sospendere immediatamente il c.d. data flow di cui beneficiava la società avente sede negli Stati Uniti, possibilità che – secondo il ricorrente – sarebbe discesa (anche) dall’art. 4 delle stesse standard contractual clauses [6].
Diversamente ritenendo, l’Irish Data Protection Commissioner citò in giudizio – sempre dinanzi alla Irish High Court – Facebook Ireland Ltd e lo stesso signor Schrems, invitando il giudice irlandese a deferire, mediante un secondo rinvio pregiudiziale (vedi infra), la questione della validità delle suddette clausole contrattuali alla Corte.
Le descritte vicende processuali, decisamente articolate, costituiscono pertanto premessa del “nuovo” rinvio pregiudiziale della Irish High Court, la quale “prosegue”, mediante tale ultima pronuncia, nel dialogo già precedentemente instaurato in subiecta materia con il giudice europeo[7].
- Protezione dei dati e sicurezza: UE versus USA
La corte irlandese, nella stesura della pronuncia, è stata chiamata ad un difficile compito: in primis quello di riassumere compiutamente tutte le vicende fattuali e processuali del caso, piuttosto corpose, ed, in secundis, quello di comparare la già citata normativa europea in tema di trattamento dei dati personali (vedi supra) con quella statunitense, al fine di verificare se il trasferimento extra UE di dati ed utilizzo di questi in favore e da parte di Facebook Inc non comporti, per gli interessati, un affievolimento delle garanzie previste dalla Carta (in particolare, art. 7, 8, 47, 52).
A tal riguardo l’organo giudicante ravvisa che, in materia, ogni ordinamento è chiamato, dal punto di vista del diritto costituzionale, ad una ponderazione tra due diversi valori: il rispetto della vita privata dell’individuo – da una parte – e le esigenze di sicurezza nazionali – dall’altra – con esiti diversi a seconda dell’attribuzione di maggiore rilevanza all’uno o all’altro[8].
Quanto all’ordinamento statunitense, la Corte ritiene invero che principio basilare, desumibile dalla rilevante legislazione in materia, sia che la surveillance sulle informazioni personali degli individui è sempre ammessa, salvo quando espressamente vietata ex lege [9]. L’Irish High Court osserva altresì sul punto che, diversamente dall’ordinamento europeo ove una tutela giurisdizionale effettiva avverso l’utilizzo di dati incompatibile con il diritto alla vita privata dell’individuo è garantita dall’art. 47 della Carta, negli Stati Uniti non pare rinvenibile un rimedio equipollente previsto dalla legge; ivi, infatti, si concreta spesso un’invasiva sorveglianza non manifesta – motivata precipuamente da ragioni di protezione della sicurezza nazionale – tale da ostacolare marcatamente la tutela della privacy individuale. Spesso, infatti, poiché la legge non prevede relativo preavviso agli interessati, il cittadino le cui informazioni personali sono utilizzate, non è nemmeno a conoscenza della manipolazione di queste.
Inoltre, il giudice irlandese rileva come l’art. 52 della Carta preveda la possibilità di limitarne i diritti riconosciuti da questa (e quindi anche quello alla vita privata) allorché tale restrizione sia motivata da finalità di interesse generale, strettamente necessaria e, comunque, proporzionata allo scopo perseguito. In “dissintonia” con tale previsione normativa del diritto europeo, le diverse misure di sorveglianza generale poste in essere negli Stati Uniti, con finalità securitarie, piuttosto ampie, late e invasive – come ampiamente descritto nella decisione in commento[10] – non sembrano trovare invece significativi limiti, nella loro applicazione, in grado da rispondere a tali requisiti, a garanzia della protezione dei dati personali.
Da ultimo, invero, se negli Stati Uniti la tutela maggiore di queste e del diritto alla privacy si può – pur genericamente – ricavare, per via interpretativa, dal Quarto emendamento della Costituzione, tale previsione costituzionale rimane comunque non applicabile ai cittadini europei.
Potendo quindi le agenzie di intelligence statunitensi – ai sensi di legge e nella prassi – avere accesso indiscriminato a (praticamente) tutti i dati dei service provider nazionali, si può concludere che i cittadini europei “perdano” le garanzie in materia loro riservati, dalla legislazione UE, ogniqualvolta informazioni personali siano a questi trasferiti. Come visto, invero, negli Stati Uniti le ragioni fondanti la tutela della vita privata di ogni individuo sembrano piuttosto recessive rispetto a quelle (imperanti) di sicurezza e difesa della nazione.
- Standard contractual clauses: la parola alla Corte di giustizia
Da ultimo, l’Irish High Court considera l’art. 4 delle summenzionate standard contractual clauses che – secondo il signor Schrems – fonderebbero il potere, in capo all’Irish Data Protection Commissioner, di sospendere il “flusso” di dati da Facebook Ireland a Facebook Inc, così “offrendo” un’utile via di risoluzione alla questione del minor livello di tutela della privacy accordato dalla legislazione statunitense. Tuttavia, l’autorità irlandese ritiene invece, a tal riguardo, che detta disposizione contrattuale di “salvaguardia” rispetto al trasferimento di dati verso stati terzi si risolva in un potere meramente discrezionale esercitabile o meno, da parte delle singole autorità nazionali, a seconda di considerazioni particolari legate al caso concreto. Secondo l’autorità irlandese, invero, determinate “circostanze” potrebbero “frenare” l’esercizio di tale potere, nonostante una compiuta verifica di non adeguatezza della rilevante disciplina normativa dello stato in cui i dati sono trasferiti e trattati.
Tale “impianto” teorico è altresì accolto anche dal giudice irlandese, secondo cui: «it’s undesirable that identical data transfer could be permitted under the SCCs in one Member State but suspended or banned in another depending on whether or not […] the particular authorities had reached different conclusions regarding the likelihood of the data being subjected to a substantial adverse effect on warranties and obligations provided by SCCs[…] the mere fact that the power to suspend data transfer exist does not save the SCC decision from the invalidity based upon the perceived inadequacies of the law of third countries»[11].
Pertanto, l’Irish High Court, decisasi a rinviare alla Corte la decisione sulla validità di tali clausole contrattuali, ritenendole non sufficienti – di per sé stesse – ad assicurare adeguata protezione ai dati personali di cittadini europei trasferiti a service providers aventi sede negli Stati Uniti, si riserva di determinare – in seguito all’ulteriore audizione delle parti processuali – l’esatta questione da deferire.
In conclusione, pare auspicabile che questo nuovo rinvio pregiudiziale di validità alla Corte possa fare (finalmente) chiarezza su quella che rimane la questione centrale dell’intera vicenda processuale: può o meno essere legittimamente precluso alle competenti autorità nazionali un uniforme esame, in piena indipendenza ed autonomia, anche da clausole ed accordi privati, quanto al fatto che il trasferimento di dati di cittadini dell’Unione verso paesi terzi rispetti i requisiti previsti dalla relativa normativa europea in materia (in particolare, i contenuti della Carta e i principi sanciti dalla Direttiva 95/46/CE) e non si tramuti in una deminutio dei diritti a questi garantiti?
Alla Corte, quindi, la rinnovata possibilità di definire tale questione, al termine di un “dialogo” tra tribunale nazionale e giudice dell’Unione decisamente articolato e ricco di implicazioni quanto alla garanzia di un diritto individuale, quello alla privacy, sempre più rilevante nell’odierno contesto globale[12].
[1] Si noti, a tal riguardo, che la legislazione europea prevede (art. 25 comma 6, Direttiva 95/46/CE), che un Paese terzo ove i dati sono trasferiti ne garantisca una protezione adeguata in rapporto al grado di tutela garantito nell’UE. Tuttavia, secondo autorevole dottrina, la Corte, nella sentenza C 362/2014, avrebbe parificato tale parametro di adeguatezza a quello di equivalenza, tramite un’interpretazione normativa di tale Direttiva teleologicamente “ispirata” alla Carta. La Corte avrebbe quindi perseguito, in tal modo, un’ideale estensione territoriale extra UE dell’applicazione delle garanzie previste dalla disciplina europea. Vedasi, in questo senso: O. Pollicino – M. Bassini, La Carta dei diritti fondamentali dell’Unione europea nel reasoning dei giudici di Lussemburgo, in V. Z. Zencovich – G. Resta (a cura di), La protezione transnazionale dei dati personali, Roma, 2016, p. 73 e ss. (in particolare, pp. 84-85).
[2] Corte di Giustizia, causa C -362/2014
[3] Letteralmente, tale disposizione prevede che: «La Commissione può constatare, secondo la procedura di cui all’ articolo 31 , paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5 , ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona».
[4] Letteralmente, tale disposizione normativa prevede (comma 1) che: «Ogni Stato membro dispone che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri. Tali autorità sono pienamente indipendenti nell’esercizio delle funzioni loro attribuite».
[5] Da un punto di vista “funzionale” le standard contractual clauses sono parificabili al consenso individuale al trasferimento di informazioni personali e alle binding corporate rules, ovvero uno strumento volto a consentire il trasferimento infragruppo di dati dal territorio dello Stato verso Paesi terzi extra UE. Queste ultime si concretizzano in un documento contente una serie di clausole che fissano principi vincolanti al cui rispetto sono tenute invero tutte le società appartenenti ad un medesimo gruppo.
[6] «Whenever the competent authorities in Member States exercise the powers pursuant to Article 28(3) of the Directive 95/46/EC leading to the suspension or definitive ban of data flows to third countries in order to protect individuals with regard to the processing of their personal data, the Member State concerned shall, without delay, inform the Commission, which will the information to the other Member States».
[7] Per maggiori approfondimenti sul tema del dialogo tra le corti nazionali ed europee si rimanda, ex multis, al contributo di O. Pollicino, Corte di giusitizia e giudici nazionali: il moto “ascendente”, ovverosia l’incidenza delle tradizioni costituzionali comuni nella tutela apprestata ai diritti della Corte dell’Unione, in A. Ruggeri (a cura di), Crisi dello Stato nazionale, dialogo intergiurisprudenziale e tutela dei diritti fondamentali, Torino, 2015, p. 91 ss., a quello di A. Baraggia, La tutela dei diritti in Europa nel dialogo tra Corti: “epifanie” di una Unione dai Tratti ancora indefiniti, in www.rivistaaic.it, 2, 2015, disponibile al seguente link: http://www.rivistaaic.it/la-tutela-dei-diritti-in-europa-nel-dialogo-tra-corti-epifanie-di-una-unione-dai-tratti-ancora-indefiniti.html e, da ultimo, al contributo di A. Ruggeri, Dialogo tra le Corti, tutela dei diritti fondamentali ed evoluzione del linguaggio costituzionale, in www.federalismi.it, 18, 2017, disponibile al seguente link: http://www.federalismi.it/ApplOpenFilePDF.cfm?artid=34825&dpath.
[8] Per maggiori approfondimenti sul punto ci si limita a rimandare, tra la vasta letteratura sul tema, a F. Fabbrini, Privacy and National Security in the Digital Age. European and Comparative Constitutional Perspectives, in Tilburg Law Review, 2015, p. 5 ss.
[9] Vedi consideratum n. 195 della sentenza della Irish High Court n. 545/2017: «The basic principle is that surveillance is legal unless forbidden and there is no requirement ever to give notice in relation to surveillance».
[10] In particolare, il riferimento è ai PRISM, ossia programmi di sorveglianza elettronica di massima segretezza, usati per la gestione di informazioni raccolte attraverso Internet e altri fornitori di servizi elettronici e telematici negli USA dalla National Security Agency (NSA), fin dal 2007 e alla upstream collection. Quest’ultima è utilizzata, sempre della NSA, per intercettare il traffico di Internet e telefonico, dal c.d. Internet backbone.
[11] Vedi considerata n. 315 e n. 317 della sentenza della Irish High Court n. 545/2017.
[12] Si veda, sul tema, per una ricostruzione normativa della disciplina europea sulla protezione dei dati, anche in chiave comparata, il contributo monografico di F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, 2016.