L’attivista austriaco, dopo la “vittoria” del 2015, prova a mettere in discussione anche il Privacy Shield, in una battaglia legale che si annuncia densa e di grande rilievo. Le conclusioni dell’Avvocato generale non sembrano minacciare l’assetto normativo vigente; tuttavia, una lettura più profonda e sistematica potrebbe condurre a esiti differenti. Sarà la Corte a tracciare la nuova linea transatlantica.
L’Avvocato generale Saugmandsgaard Øe ha presentato le proprie conclusioni nel secondo rinvio pregiudiziale che vede contrapposti Maximilian Schrems e il noto social network Facebook.
La saga è nota: Schrems ha instaurato una controversia imponente contro Facebook, uscendone vincitore nel 2015. La Corte di giustizia dell’Unione europea, in quel caso, ha giocato fortemente il proprio ruolo, ergendosi a garante di diritti in un contesto globale.
La “vittoria” del ricorrente (che, a rigore, contestava le decisioni del garante irlandese per la riservatezza, l’Irish Data Protection Commissioner, o Irish DPA) ha comportato l’annullamento del c.d Safe Harbor, un accordo volto a regolare il transito di dati personali dall’Unione europea agli Stati Uniti, considerato di livello non adeguato a quello chiesto dall’ordinamento. Quindi, si è pervenuti all’adozione di un ulteriore accordo, il cd. Privacy Shield.
Dopo la sentenza della Corte di giustizia, il garante irlandese ha chiesto a Schrems di riformulare le sue richieste, in ragione del fatto che il Safe Harbor era stato annullato. Schrems ha quindi contestato l’utilizzo, da parte di Facebook, delle clausole commerciali conformi, utilizzate dal social network come seconda strada per convogliare i dati dall’Europa agli Stati Uniti. Si tratta di uno strumento disciplinato da una decisione della Commissione europea del del 2010 (n. 2010/87/EU, modificata nel 2016 dalla decisione di esecuzione Ue n. 2016/2297).
Il tema della causa C-311/18, a ben vedere, concerne gli effetti della prima sentenza della Corte di giustizia e il rispetto dei principî in essa contenuti. Di qui, si torna, in modo più generale, all’assetto degli accordi che regolano la trasmissione dei dati dall’Unione e sui server statunitensi.
L’Avvocato generale è giunto a una conclusione bifronte. Da un lato, seguendo un approccio pragmatista (“reasonable degree of pragmatism in order to allow interaction with other parts of the world”: par. 7) ritiene che l’uso delle clausole contrattuali commerciali non infici il rispetto della normativa dell’Unione, quanto al rispetto dei dati personali; la legittimità della decisione del 2010 non possa essere messa in dubbio, anche se le valutazioni devono essere realizzate caso per caso. In altri termini, analizzando i singoli trasferimenti, senza mettere in discussione l’intero impianto normativo, ma generando un rischio di frammentazione applicativa da Stato a Stato.
Dall’altro lato, cercando un bilanciamento con l’esigenza di assicurare i “valori” fondamentali (riconosciuti dagli ordinamenti giuridici degli Stati membri e dell’Unione), l’Avvocato generale riconosce che il Privacy Shield non appare conforme alla tutela dei diritti fondamentali, tra cui, principalmente, il rispetto della vita privata e alla protezione dei dati di carattere personale (art. 7 e 8 e 47 della Carta dei diritti fondamentali dell’Unione europea; art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali; art. 45 del Gdpr). La decisione della Commissione, infatti (in linea con quanto sostenuto nel rinvio pregiudiziale della High Court irlandese), sembrerebbe mettere il singolo in una posizione di tutela non adeguata: negli Stati Uniti, infatti, il cittadino europeo i cui dati siano lì trasferiti è soggetto, tra l’altro, alle attività delle amministrazioni preposte alla sicurezza (senza i vincoli dello Stato membro di appartenenza), o a forme diverse di tutela giurisdizionale, in modo non equivalente al livello di protezione assicurato dall’Unione.
È di grande interesse, dunque, la prospettiva complessiva tracciata dall’Avvocato generale: l’assetto degli strumenti previsti per lo scambio di dati (le clausole) appare salvo, ma la ricerca di un equilibrio complessivo, volto a comprende fino in fondo la “tenuta” del Privacy Shield, potrebbe, un domani, essere messa in discussione.
Se le conclusioni dell’Avvocato Saugmandsgaard fossero confermate dalla Corte di giustizia, la decisione del 2010 e, per ora, il Privacy Shield, potrebbero continuare a essere applicati indisturbati. Ove la Corte respingesse tutti i dubbi sollevati nel rinvio della High Court, si avrebbe un punto fermo, attraverso un chiarimento circa i veri intendimenti della sentenza del 2015. Se, al contrario, la Corte esprimesse un orientamento più ampio, valutando negativamente anche le clausole uniformi, si aprirebbe un ulteriore capitolo, molto denso, in cui le Istituzioni europee sarebbero chiamate a ridefinire i rapporti con le Amministrazioni e con le aziende statunitensi, elevando il livello di protezione dei cittadini europei anche all’interno degli scambi di dati transoceanici.
Sono molte le domande ancora aperte. La Corte consentirà all’Unione di stabilire uno standard globale? Metterà in discussione, o comunque limiterà, il cd. modello della Silicon Valley?
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.