La Sentenza Schrems II e il judicial activism della Corte di Giustizia dell’Unione Europea. Verso un GDPR a vocazione universale?

Introduzione. 2. Il precedente: la sentenza Schrems I 3. La sentenza Schrems II. A) Il ragionamento della Corte che “salva” le SCC. B) L’invalidità del Privacy Shield. 4. 4. La decisione della Corte e la vocazione di primauté extra-UE del GDPR. 5. Conclusioni

1. Introduzione

La sentenza Schrems II è balzata agli onori della cronaca per le sue potenziali implicazioni in un settore tra i più remunerativi, quello dei dati personali, tanto da aver ricevuto dal mondo del giornalismo titoli alla stregua di “Data is the new oil”.

La decisione della Corte di Giustizia Europea è stata accolta in maniera diversa dagli addetti ai lavori, definita, ad esempio “una pietra miliare” dei nuovi rapporti privacy nell’Unione Europea o che ponga più equivoci e interrogativi di quanti ne risolva.

Sia come sia, la decisione C-311/18 della CGUE, come si cercherà di porre in rilievo in queste pagine, ha manifestato un judicial activism della Corte che, nell’andare a dichiarare invalido il Privacy Shield con il regolamento sulla protezione dei dati personali (Gdpr) letto alla luce degli Carta dei diritti fondamentali dell’Unione Euopea, conferma il suo approccio human rights-oriented e il suo ruolo di primissimo piano nello sviluppo dell’acquis communitaire nella tutela dei dati personali, dando al GDPR e la Carta una vocazione tendenzialmente “universalistica”.

In questo elaborato si proverà ad analizzare la sentenza in parola, seguendo il reasoning della Corte e cercando di dare conto della posizione dei giudici del Lussemburgo sulla tutela accordata al cittadino Ue quando vede i propri dati trasferiti in un paese terzo, in questo caso gli USA.

Prima di addentrarsi nel tentativo di analisi della recentissima decisione della Corte di Giustizia Europea C-311/18 c.d. “Schrems II”, dal nome dell’attivista austriaco che si batte da anni per la causa dei dati personali, è appena il caso di ripercorrere brevemente il precedente caso Schrems I.

2. Il precedente: la sentenza Schrems I

Il signor Schrems nel 2013 lamentava sostanzialmente davanti all’Autorità Garante dei Dati Personali Irlandese, il Data Protection commissioner, il trasferimento dei propri dati personali da Facebook Ireland, controllata irlandese del social network, a Facebook Inc., controllante con sede negli States.

Secondo il ricorrente, il social network avrebbe trasferito i propri dati in un paese che non garantiva una protezione “adeguata” dei propri dati personali secondo il diritto europeo, segnatamente secondo la Direttiva 95/46/CE, chiedeva dunque alla succitata Authority di bloccare siffatto trasferimento di dati.

Tuttavia, il DPC rifiutava di aprire un’istruttoria sul caso, sostenendo che la privacy dei cittadini europei era sufficientemente protetta dall’accordo “Safe Harbour” tra USA e Commissione Europea, dove quest’ultima riteneva appunto che il sistema statunitense garantisse una protezione “adeguata”.

A quel punto il signor Schrems adiva la Suprema Corte Irlandese (Irish High Court), la quale, tramite la tecnica del rinvio pregiudiziale, chiedeva alla Corte di giustizia Europea di pronunciarsi, essenzialmente, sulla validità del Safe Harbour, esprimendosi sulla adeguatezza dello stesso a garantire la protezione dei dati personali trasferiti negli States.

La Corte di Giustizia, con sentenza C-362/14, annulla il Safe Harbour e chiarisce, in conformità con le precedenti pronunce che “una normativa che consente alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche pregiudichi il contenuto essenziale del diritto fondamentale al rispetto della vita privata, come garantito dall’articolo 7 della Carta”.

Nella decisione Schrems I, la Corte anzitutto afferma che il trasferimento di dati attraverso il c.d. Safe Harbour non osta all’esercizio del potere di un Authority di uno stato Membro, sottolinea poi ancora una volta il valore “costituzionale” della Carta, attribuendo all’Art 7 una valenza penetrante tanto da farla asserire che: “la protezione del diritto fondamentale al rispetto della vita privata a livello dell’Unione richiede che le deroghe e le restrizioni alla tutela dei dati personali operino entro i limiti dello stretto necessario”, offre quindi la sua interpretazione, come è stato notato sul parametro di adeguatezza intendendolo come sostanziale equivalenza “tramite il trasformatore permanente della Carta dei diritti fondamentali.

La Corte accoglie dunque la definizione di adeguatezza che l’Avvocato generale Bot dà nelle sue conclusioni, il quale pone in rilievo che: “Un paese terzo assicura un livello di protezione adeguato solo qualora, al termine di una valutazione di insieme del diritto e della prassi nel paese terzo in questione, essa sia in grado di dimostrare che tale paese offre un livello di protezione sostanzialmente equivalente a quello offerto da tale direttiva, anche se le modalità di tale protezione possono essere diverse da quelle generalmente vigenti all’interno dell’Unione”.

Un approccio, quello della Corte di Giustizia “basato sui diritti e controlli”, che confermerà anche in “Schrems II”, giudizio che si proverà ad analizzare nelle prossime pagine.

È appena il caso di notare che l’approccio fundamental rights oriented della Corte di Giustizia, e quindi in riferimento all’art. 8 della Carta fondamentale dell’Ue, sulla tutela dei dati personali, non prescrive solo il rispetto di questo diritto fondamentale per sé ma rileva un elemento dinamico che pone in capo alla Commissione di verificare, volta per volta, che l’impianto giuridico del Paese terzo offra una tutela del diritto alla protezione dei dati personali almeno equivalente.

Una tutela dei diritti fondamentali così penetrante da superare in qualche modo l’ambito territoriale della decisione, andando ad adeguarsi alla dimensione a-territoriale delle tecnologie alle quali il diritto deve far fronte, garantendo la possibilità di vedere tutelato il proprio diritto sia aspettandosi dall’ordinamento una verifica dinamica delle condizioni nelle quali i propri diritti vengono esercitati, sia garantendo rimedi effettivi.

3. Analisi della sentenza Schrems II. 3.1 Il ragionamento della Corte che “salva” le SCC. 3.2 L’invalidità del Privacy Shield.

La sentenza Schrems, come si è cercato di porre in rilievo, annulla il Safe Harbour tramite una lettura “alla luce della Carta”, o se si vuole, usando un termine continentale, “costituzionalmente orientata”, ponendo in capo al potere politico l’obbligo di trovare un altro accordo con il paese terzo in questione, gli Stati Uniti, che è stato effettivamente raggiunto il 12 luglio 2016 con la decisione della Commissione n. 1250, il cosiddetto “Privacy Shield” .

Nel frattempo, il legislatore europeo ha perfezionato la tutela dei dati personali nel diritto interno adottando il regolamento 2016/769, regolamento generale sulla protezione dei dati, noto come GDPR. Regolamento che, insieme ai suoi considerando, sono oggetto dell’attività interpretativa della Corte.

Segnatamente, la Corte di Giustizia dell’Unione Europea è chiamata a pronunciarsi, essenzialmente a) se il nuovo GDPR è rispettato nei trasferimenti di dati tra operatori economici in un paese terzo dove v’è una buona possibilità che i dati siffatti vengano sottoposti al controllo da parte dell’Autorità del paese terzo b) sull’obbligo, in capo alle Autorità garanti della privacy, di “sospendere o a vietare un trasferimento di dati personali verso un paese terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione, allorché la suddetta autorità di controllo ritenga che tali clausole non sono o non possono essere rispettate in detto paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione” c) sulla portata del livello di protezione garantito dalle SCC (Standard contractual clauses) ex art 46 GDPR17 d) se quest’ultime clausole sono valide alla luce dei principi della Carte de diritti fondamentali dell’Unione Europe art.7-8-4718 e) se il privacy Shield supera l’adequacy test ex art 45 GDPR.

La Corte Di Giustizia, anzitutto, rigetta in via preliminare l’obiezione attorno sulla normativa dovesse applicarsi al caso di specie: se la vecchia direttiva, richiamata dai ricorrenti e dall’High Court o il “nuovo” Gdpr.

Il giudice del Lussemburgo chiarisce che in questo caso decisivo non è il momento in cui il signor Schrems chiede l’intervento del Commissario (Autorità Garante), e dunque pre-GDPR, ma è la circostanza della decisione del Commissario, decisione non avvenuta prima della promulgazione del regolamento in parola e quindi è a questo che va fatto riferimento.

Il punto è di non poca importanza perché in questo modo la Corte apre la strada ad un’attività ermeneutica del nuovo regolamento sulla protezione dei dati personali dandone una lettura fundamental rights oriented che, attraverso il suo Capo V, va ad estendersi oltre i confini del Vecchio Continente.

3.1 Il ragionamento della Corte che “salva” le SCC.

Il secondo step della dalla Corte è un “test di compatibilità” attorno alle cosiddette S.C.C. Standard contractual clause, clausole contrattuali standard, contratte con operatori di paesi terzi e la normativa europea.

Il Giudice, nella sua analisi, argomenta che siffatte clausole possono offrire delle garanzie adeguate tra privati, quindi tra data exporter, data importer e il soggetto titolare dei dati, con l’aggiunta però del dovere da parte dell’Autorità, anzitutto dello Stato membro dove la persona fisica risiede, di bloccare o terminare il trasferimento dei dati se queste garanzie vengono meno e comunque ponendo in capo ai titolari del trattamento ex art 46 GPDR, il destinatario dei dati, a mettere in atto le misure adeguate per la protezione dei dati personali.

Così argomentando, in mancanza di una decisione di adeguatezza da parte della Commissione, come la decisione Privacy Shield, la Corte individua comunque i soggetti deputati al controllo di un trasferimento dei dati che offra le garanzie necessarie, ponendo in capo ai privati responsabilità importanti.

Questi ultimi dovranno infatti, di volta in volta, assicurarsi che la normativa del paese terzo non sia incompatibile con il quadro giuridico Ue e, quindi, con la tutela fondamentale del diritto alla privacy, nella interpretazione così data dalla Corte. Questo obbligo, precisa la Corte, non si esaurisce al garantire che le SCC offrano una tutela “sostanzialmente equivalente” a quella offerta dall’Unione ma, nel caso del destinatario: qualsiasi modificazione della normativa nazionale ad esso applicabile che possa pregiudicare le garanzie e gli obblighi previsti dalle clausole tipo di protezione dei dati contenute nell’allegato della decisione CPT”.

In questo modo si pone in capo alle parti contrattuali non solo il test di adeguatezza delle clausole alla tutela del diritto dell’Unione e quindi, una tutela “sostanzialmente equivalente”, ma anche un controllo dinamico, ex post, su eventuali cambi della normativa del paese terzo, comunicando prontamente la modifica legislativa all’interessato in modo tale da assicurargli l’esercizio del proprio diritto di difesa, incluso il risarcimento del danno. Diritto di difesa che sarà il leit-motiv della Corte per contestare l’inadeguatezza della decisione 2016/250, c.d. Privacy Shield.

Questo obbligo, penetrante, se non gravoso, in capo ai privati nel complesso ragionamento della Corte è insieme legittimato e dovuto dallo scopo delle SCC. Queste infatti non possono vincolare il paese terzo, che quindi potrà superarle quando vorrà, emanando una normativa in peius o in melius. Nel primo caso si paventerebbe un nocumento alla tutela della privacy non tollerabile.

In estrema sintesi, le SCC sono valide e di per sé non inficiate dal fatto che non vincolano il paese terzo, sono, appunto, accordi conclusi tra privati, tuttavia pongono obblighi al titolare e destinatario del trattamento che, nel caso non possano adottare misure supplementari sufficienti sono tenuti a: sospendere o a mettere fine al trasferimento, informare immediatamente il cedente i dati personali. Spingendo i privati, come qualcuno ha sostenuto a diventare esperti di una normativa a loro estranea, appunto quella dell’Unione.

In particolare, le parti si impegnano:” a far sì che il trattamento di tali dati, compreso il loro trasferimento, sia effettuato e continuerà ad essere effettuato conformemente alla «normativa sulla protezione dei dati e, quindi, il GDPR, sottolineando ancora una volta la sua primauté, anche nei rapporti con i paesi terzi.

3.2 L’invalidità del Privacy Shield.

La Corte suprema della Repubblica d’Irlanda tramite la tecnica del rinvio pregiudiziale, ha quindi posto alla CGUE le seguenti questioni: a) se l’Authority di uno Stato Membro fosse vincolata alla Decisione “Privacy Shield” b) se il trasferimento di dati verso gli Stati Uniti sulla scorta delle clausole SCC violi gli articoli 7, 8 e 47 della Carta e, quindi, il diritto al rispetto della vita privata e familiare, la protezione dei dati personali secondo la direttiva 94/46/ce ed il diritto effettivo ad adire a un giudice imparziale c) su quest’ultimo punto se la previsione della figura del mediatore sia compatibile o comunque rispetti l’art 47 della Carta.

Per poter compiutamente rispondere a siffatti quesiti il giudice del Lussemburgo ritiene, come sottolineato in via preliminare di dover verificare la compatibilità della decisione “Privacy Shield” con il GDPR, alla luce degli articoli della Carta precedentemente menzionati.

È appena il caso di notare che la High Court Irlandese aveva interrogato la Corte solo sulla compatibilità della SCC con i principi della Carta non con la decisione Privacy Shield. La Corte tuttavia nei punti dal 150 al 161 giustifica il suo sindacato sulla scorta delle seguenti motivazioni: a) il ricorso è stato proposto al giudice del rinvio prima che la decisione della Commissione venisse adottata b) il giudice del rinvio interroga la Corte sulla compatibilità del Mediatore, figura nata proprio a seguito della decisione 2016/1250 con la normativa Ue c) la decisione in questione produceva effetti vincolanti e sovraordinati proprio nei confronti delle SCC d) il signor Schrems chiedendo all’Autorità garante di vietare o sospendere il trasferimento, da parte di Facebook Ireland a Facebook Inc., lo chiedeva alla luce proprio del Privacy Shield, decisione che, come viene fuori nelle more del processo, Facebook Ireland si riteneva vincolata ex art 45 GDPR.

La Corte di Giustizia dell’Unione Europea, dopo aver superato questo punto, incentra la sua analisi sul principio di proporzionalità, citando l’art 52 della Carta il quale, tra l’altro, dispone: “Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessario e rispondano effettivamente a finalità di interesse generale riconosciuti dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”.

Addentrandosi nello specifico il giudice del Lussemburgo, in estrema sintesi, verifica la compatibilità col principio di proporzionalità e con il test di “sostanziale equivalenza” del Privacy shield portando sotto la sua lente: a) Lo United States Foreign Intelligence Surveillance Court B) La sezione 702 del FISA C) l’impatto del Mediatore US sul diritto di difesa.

La Corte, nell’analizzare la decisione, sottolinea fin da subito come il governo statunitense si sia riservato la facoltà di derogare siffatti principi. “le organizzazioni statunitensi autocertificate che ricevono dati personali dall’Unione sono tenute a disapplicare, senza limiti, tali principi allorché questi ultimi interferiscono con tali esigenze e risultano dunque incompatibili con le medesime (esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia”.

Per quanto riguarda il punto sub a) La Corte sottolinea come United States Foreign Intelligence Survellaince Court non autorizza singoli programmi di sorveglianza ma una vera e propria mass surveillance. In base all’art.702 del FISA sub b) che non opera alcuna distinzione tra un soggetto potenzialmente sottoponibile a sorveglianza o meno ma verificando solo che quel programma sia compatibili con gli interessi dell’intelligence.

Su quest’ultimo punto la Corte di Giustizia UE sottolinea come la sezione 702 del Fisa, non ponendo in essere alcuna limitazione all’autorizzazione, né l’esistenza di garanzie per i cittadini stranieri: “non è idoneo a garantire un livello di tutela sostanzialmente equivalente a quello garantito dalla Carta”.

Questo né alla luce del principio di proporzionalità ex art 57 della Carta tantomeno considerando gli art. 7 e 8. Non bastano, secondo la Corte, i limiti imposti al FISA dal PPD- 28, Presidential policy directive, e dall’Executive Order 12333, ad assicurare la sostanziale equivalenza di tutela, semplicemente perché siffatti atti legislativi non consentono di spiegare compiutamente il diritto di difesa da parte del cittadino extra Ue.

Questo per ammissione del governo statunitense che, interrogato dalla Corte, ha infatti dichiarato che “la PPD-28 non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici”. Lo stesso può essere sostenuto per l’Executive Order 12333 che quindi non è in grado di superare la prova del test dell’adeguatezza e né, tantomeno, quello sul principio di proporzionalità.

Sul punto sub c) la Corte ritiene che la figura del Mediatore, interpretata alla luce dell’art. 47 GDPR non sia comunque idonea a garantire il diritto fondamentale a far valere giudizialmente le proprie ragioni.

Questo anzitutto perché il Mediatore riferisce direttamente all’organo che lo nomina, il Segretario di Stato, minandone quindi l’indipendenza, poi la decisione Privacy Shield non menziona alcun potere vincolante del Mediatore nei confronti delle agenzie di Intelligence. Il meccanismo di Mediazione dunque non risulta idoneo a garantire la sostanziale equivalenza della protezione dei dati personali.

Questo, unitamente agli altri motivi esposti finora porterà la Corta ad annullare la decisione Privacy Shield.

Quindi, riassumendo, la decisione della Corte di Giustizia Ue C-311/18 ha 1) annullato la decisione Privacy Shield ritendendola non compatibile col diritto UE 2) ritenuta valida l’efficacia delle SCC, tenuta ferma la responsabilità in capo al titolare del trattamento e il destinatario dei dati 3) sancito, nei fatti, la non compatibilità delle SCC nei confronti di tutti quei soggetti sottoposti a mass surveillance.

4. La decisione della Corte e la vocazione di primauté extra UE del GDPR.

Come è stato cercato di porre in rilievo in queste pagine, la Corte di Giustizia dell’Unione Europea ha sottoposto il Privacy Shield e le Standard Contractual Clauses al vaglio di compatibilità con il GDPR letto alla luce della Carta di Nizza.

L’impianto del “nuovo” regolamento europeo per la tutela della privacy dedica un intero Titolo, il V, al trasferimento dei dati verso un paese terzo extra Ue. La ratio della disciplina europea viene fuori dai considerando al testo regolamentare, segnatamente il 101, che, se da un lato sottolinea come “I flussi di dati personali verso e da paesi al di fuori dell’Unione e organizzazioni internazionali sono necessari per l’espansione del commercio internazionale e della cooperazione internazionale” dall’altro pone in rilievo come “l’aumento di tali flussi ha posto nuove sfide e problemi riguardanti la protezione dei dati personali”.

La risposta a tali sfide e problemi viene già accennata proprio nel considerando in parola ove il legislatore europeo ha come obiettivo: “il livello di tutela delle persone fisiche assicurato nell’Unione dal presente regolamento non sia compromesso”. Tale obiettivo non è astratto, poiché al passo successivo si ha cura di precisare che:” In ogni caso, i trasferimenti verso paesi terzi e organizzazioni internazionali potrebbero essere effettuati soltanto nel pieno rispetto del presente regolamento”. Il considerando è chiaro ed esprime una forma libera ma a risultato vincolato: quella tutela “sostanzialmente equivalente” al GDPR, nel significato dato alla luce della Carta di Nizza.

Da questa forma astrattamente la Commissione poteva e può discostarsi tramite l’esercizio del proprio potere discrezionale tramite un accordo tra essa e il paese terzo che andava ad autorizzare il trasferimento dei dati.

Tuttavia, la norma della Direttiva 95/46/CE, prima, all’art 45 GDPR, poi, consente sì che la Commissione possa assumere una decisione che ponga una presunzione di adeguatezza della normativa del paese terzo ma subordina tale presunzione a una serie di verifiche.

La mens legis europea difatti, pur cristallizzando la possibilità della Commissione di porre in essere la decisione d’adeguatezza impone alla stessa a verificare che vi sia un “adeguato livello di protezione sostanzialmente equivalente a quello assicurato all’interno dell’Unione” e che “e agli interessati dovrebbero essere riconosciuti diritti effettivi e azionabili e un mezzo di ricorso effettivo in sede amministrativa e giudiziale. Ratio ripresa anche dalla Corte nella decisione Schrems II.

Andando nello specifico, l’art. 45 GDPR comma 2 pone in capo alla Commissione l’obbligo, ai fini della Decisione, e quindi come parametro per “test di adeguatezza” , id est: sostanziale equivalenza: lo stato di Diritto, il rispetto dei diritti umani e delle libertà fondamentali, la legislazione settoriale, l’azionabilità dei diritti e la effettività degli stessi, l’esistenza di una o più autorità di controllo indipendenti nel paese terzo, gli impegni internazionali assunti dal paese terzo.

Dall’impianto normativo succitato, unito alla sentenza Schrems II, viene fuori che certamente la Commissione può adottare, motivandola, una decisione che un paese terzo garantisca una protezione adeguata. Tuttavia, tale decisione andrà inevitabilmente incontro alla scure delle Corte di Giustizia dell’Unione Europea qualora i parametri sopra elencati non siano stati rispettati e, soprattutto non venga passato il test di sostanziale equivalenza al GDPR nell’interpretazione data dalla Corte, ponendo il regolamento come standard da raggiungere, con poco o nessun margine di compromesso.

Tenuto fermo, infatti, che la decisione della Commissione non è un atto legislativo ma amministrativo e discrezionale, la stessa Commissione potrebbe, come è stato rilevato, persistere diabolicamente. Già il giudice del rinvio in Schrems II, l’High Court Irlandese aveva espresso perplessità sulla compatibilità della decisione Privacy Schield che, giova ricordarlo, è stata considerata dalla Commissione come “adeguata”, con l’art 45 GDPR letto alla luce dei principi della Carta. Ma v’è di più, come riporta la Corte la Commissione aveva ritenuto che: “l’ingerenza nei diritti fondamentali della persona i cui dati sono trasferiti dall’Unione verso gli Stati Uniti[..] si limitino a quanto strettamente necessario per conseguire l’obiettivo legittimo ricercato e che contro le ingerenze di tale natura esiste una tutela giuridica efficace».”

Sia come sia, la Commissione è pacifico che astrattamente potrebbe comunque persistere nell’approvare un nuovo accordo che non rispetti le prescrizioni del GDPR ed è in effetti quello che è successo: il Privacy Shield difatti aveva sostituito il Safe Harbour ritenuto incompatibile col diritto dell’Unione con la sentenza Schrems I.

Questo accordo però potrà essere sempre impugnato davanti alla CGUE, tramite la tecnica del rinvio pregiudiziale, e, questa, investita della questione, potrebbe dar luogo a una nuova decisione Schrems III, IV e così via.

Oltre alla decisione della Commissione, è appena il caso di notare che l’art. 46 prevede, al paragrafo 1, che in mancanza di una decisione di adeguatezza della Commissione ai sensi dell’art. 45, il titolare o il responsabile del trattamento può trasferire dati personali verso un paese terzo solo se tale titolare o responsabile ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. L’articolo prosegue elencando anche gli strumenti con i quali i privati possono offrire queste garanzie come le Standard Contractual Clause che la Corte di Giustizia ha “salvato” in Schrems II ma che, giova ricordarlo, prevedono le parti devono comunque: a) impegnarsi affinché il trattamento dei dati compatibile al Gdpr b) sospendere o risolvere il contratto se nell’ambito dell’attività di aggiornamento della normativa del paese terzo si accorgano che la tutela dei dati personali è diventata carente.

Anche qui, può sottolinearsi come la stella polare del trattamento dei dati nei paesi extra UE sia il Gdpr alla luce dei principi della Carta.

5. Conclusioni

Quella che la Corte ha fatto venir fuori, non è dunque un’interpretazione creativa del regolamento, piuttosto un’integrazione giurisprudenziale per accrescerne l’effettività dello stesso, ossia l’effettività della tutela primaria e fondamentale dei dati personali che, per sostanziarsi deve rivendicare nel rapporto tra Stati extra Ue, titolari del trattamento e destinatari dei dati extra UE una condizione imprescindibile per lo scambio degli stessi: la tutela del GDPR la sua primauté nei confronti dei cittadini europei, una tensione si potrebbe dire “universalistica”.

Com’è è stato notato il judicial activism della Corte nella Schrems saga ha anche confermato la sua vocazione di Corte Costituzionale Europea. Alzando l’asticella della protezione dei dati personali dall’adeguatezza alla sostanziale equivalenza la Corte ha rivendicato a sé proprio il ruolo di Corte Costituzionale pan europea, andando a rimarcare la necessità di un check and balance tra il potere, squisitamente politico e discrezionale della Commissione, e la sofisticata tutela dei diritti fondamentali garantita dall’Unione.

Obiettivo che Stati Uniti e Ue si stanno già muovendo per raggiungerlo tramite la redazione di un Privacy Schield migliorato.

La Corte tuttavia non si è limitata a ribadire questo principio, essa ha infatti posto in capo agli operatori del mercato digitale dei dati, titolari del trattamento e destinatari dei dati, degli obblighi precisi e particolarmente gravosi, ossia quello di verificare costantemente nel tempo se, in assenza di una decisione della Commissione il paese terzo dell’Ue garantisce una tutela “adeguata” dei dati personali, con tutto quel che concerne dal punto di vista delle risorse dell’operatore privato, specie delle piattaforme, e in caso di riscontro negativo l’operatore è tenuto a sospendere o terminare il trasferimento dei dati.

È chiaro che questo nuovo obbligo inciderà soprattutto nei confronti delle grandi piattaforme che verranno chiamate di nuovo ad esercitare, prendendo a prestito la definizione data per la tutela della libertà di pensiero su internet, un quasi judicial role, avendo come stella polare il Gdpr e il test di equivalenza.

Gdpr la cui ratio come è stato sottolineato era quella di rispondere con efficacia alle nuove sfide poste dalla tecnologia tra cui l’enorme mole di dati personali che in potenza posso essere raccolti.

La strada prescelta, oltre alle caratteristiche riportate finora, è anche quella di un’intesa collaborazione “orizzontale” tra privati. La tutela orizzontale del diritto fondamentale ai dati personali sembra infatti essere uno dei leitmotiv della Corte sia in Schrems I che nella più recente decisione.

Responsabilità, quelli in capo ai privati che desta non poche preoccupazioni agli stessi, in termini di tutela dell’affidamento ma, soprattutto di sforzo economico. La Commissione Europea e il governo degli Stati Uniti hanno annunciato di essere in trattaiva per un nuovo accordo che però con l’attuale presa di posizione della Corte lascia poco margine di manovra. La situazione in Europa sembra lungi dall’essere risolta: mentre lo European Data Protection Board ha ricevuto dalla Commissione Europea una prima bozza di presentazione di nuove Standard Contractual Clause e una dichiarazione sul regolamento relativo alla vita privata e alle comunicazioni elettroniche, il Senato Americano41 è occupato in una prima audizione sul futuro post Schrems II del flusso di dati tra gli Usa gli UE. Quello che è pacifico è il ruolo attivo della Corte, ancora una volta “guardiana” della tutela dei diritti fondamentali.

Bibliografia

Ex multis: https://www.forbes.com/sites/forbestechcouncil/2019/11/15/data-is-the-new-oil-and-thats- a-good-thing/?sh=4ae565ca7304
https://europeanlawblog.eu/2020/07/17/the-schrems-ii-judgment-of-the-court-of-justice-and-the- future-of-data-transfer-regulation/
Ròisìn Àine Costello European Papers, European Forum, Insight of 15 October 2020, pp. 1-15
Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Oggi sostituita dal GDPR.
Corte di Giustiza C-362/14-Schrems
Pollicino, L’efficacia orizzontale dei diritti fondamentali previsti dalla Carta, la giurisprudenza della Corte di Giustizia in materia di digital privacy come osservatorio privilegiato in Media Laws, rivista di diritto dei media, https://www.medialaws.eu/rivista/12874/
Lucia Serena Rossi, in MERCATO UNICO DIGITALE, DATI PERSONALI E DIRITTIFONDAMENTALI a cura di Francesco Rossi Dal Pozzo, Rivista Jus http://rivista.eurojus.it/mercato- unico-digitale-dati-personali-e-diritti-fondamentali/
Foreign Intelligence Surveillance Act section 702 https://www.dni.gov/files/icotr/Section702- Basics-Infographic.pdf