Language of document :

Domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda) il 9 maggio 2018 – Data Protection Commissioner / Facebook Ireland Limited, Maximilian Schrems

(Causa C-311/18)

Lingua processuale: l'inglese

Giudice del rinvio

High Court (Irlanda)

Parti

Ricorrente: Data Protection Commissioner

Resistenti: Facebook Ireland Limited, Maximilian Schrems

Questioni pregiudiziali

Se, in circostanze in cui dati personali sono trasferiti da una società privata di uno Stato membro dell’Unione europea a una società privata in un paese terzo per scopi commerciali ai sensi della decisione 2010/87/UE 1 , come modificata dalla decisione 2016/2297 2 della Commissione (in prosieguo: la «decisione sulle CCT») e possono essere ulteriormente trattati nel paese terzo dalle sue autorità ai fini della sicurezza nazionale ma anche ai fini dell’applicazione della legge e della gestione della politica estera del paese terzo, il diritto dell'Unione (compresa la Carta dei diritti fondamentali dell’Unione europea, in prosieguo: la «Carta») sia applicabile al trasferimento dei dati, nonostante le disposizioni di cui all’articolo 4, paragrafo 2 TUE in relazione alla sicurezza nazionale e le disposizioni di cui al primo trattino dell’articolo 3, paragrafo 2, della direttiva 95/46/CE 3 (in prosieguo: «la direttiva») in relazione alla pubblica sicurezza, alla difesa e alla sicurezza dello Stato.

(1) Se, per determinare se vi sia una violazione dei diritti di un individuo a causa del trasferimento di dati, ai sensi della decisione sulle CCT, dall’Unione verso un paese terzo nel quale possono essere ulteriormente trattati per finalità di sicurezza nazionale, l’elemento di paragone rilevante ai fini dell’applicazione della direttiva sia:

La Carta, il TUE, il TFUE, la direttiva, la CEDU (o qualsiasi altra disposizione del diritto dell’Unione); oppure

Le leggi nazionali di uno o più Stati Membri.

(2) Qualora l'elemento di paragone rilevante sia quello sub b), se siano da includere nel raffronto anche le prassi nell’ambito della sicurezza nazionale in uno o più Stati membri.

Se, nel valutare se un paese terzo garantisca il livello di protezione richiesto dal diritto dell’Unione ai dati personali trasferiti in tale paese ai fini dell’articolo 26 della direttiva, il livello di protezione nel paese terzo debba essere valutato con riferimento a:

Le norme vigenti nel paese terzo derivanti dalla sua legislazione nazionale o dagli impegni internazionali e la prassi intesa ad assicurare il rispetto di tali norme, comprese le norme professionali e le misure di sicurezza osservate nel paese terzo;

oppure

Le norme di cui alla lettera a) congiuntamente alle prassi amministrative, regolamentari e di conformità e alle misure di salvaguardia, alle procedure, ai protocolli, ai meccanismi di controllo e ai mezzi di ricorso extragiudiziali che sono in vigore nel paese terzo.

Se, considerando i fatti accertati dalla High Court in relazione al diritto degli Stati Uniti (…], il trasferimento dei dati personali dall’Unione verso gli Stati Uniti ai sensi della decisione sulle CCT violi i diritti degli individui ai sensi degli articoli 7 e/o 8 della Carta.

Se, considerando i fatti accertati dalla High Court in relazione al diritto degli Stati Uniti, in caso di trasferimento dei dati personali dall’Unione europea verso gli Stati Uniti ai sensi della decisione sulle CCT:

Il livello di protezione garantito dagli Stati Uniti rispetti il contenuto essenziale di un diritto di un individuo a un ricorso giurisdizionale in caso di violazione dei suoi diritti in materia di tutela dei dati personali garantiti dall’articolo 47 della Carta.

In caso di risposta affermativa alla lettera a),

Se le restrizioni imposte dalla legge statunitense al diritto di un individuo a un ricorso giurisdizionale nell’ambito della sicurezza nazionale degli Stati Uniti siano proporzionate ai sensi dell’articolo 52 della Carta e non vadano al di là di quanto necessario in una società democratica ai fini di sicurezza nazionale.

(1) Quale sia il livello di protezione richiesto che deve essere garantito ai dati personali trasferiti verso un paese terzo a norma delle clausole contrattuali tipo adottate conformemente a una decisione della Commissione a norma dell’articolo 26, paragrafo 4, alla luce delle disposizioni della direttiva, e in particolare degli articoli 25 e 26, letti alla luce della Carta.

(2) Quali siano i fattori da prendere in considerazione per valutare se il livello di protezione garantito ai dati trasferiti verso un paese terzo ai sensi della decisione sulle CCT soddisfi i requisiti della direttiva e della Carta.

Se il fatto che le clausole contrattuali tipo si applicano tra l’esportatore e l’importatore dei dati e non vincolano le autorità nazionali di un paese terzo, le quali possono esigere che l’importatore dei dati metta a disposizione dei loro servizi di sicurezza per l’ulteriore trattamento i dati personali trasferiti ai sensi delle clausole di cui alla decisione sulle CCT, escluda che le clausole offrano garanzie sufficienti, come previsto dall’articolo 26, paragrafo 2, della direttiva.

Se, qualora importatore di dati di un paese terzo sia soggetto a norme di sorveglianza che, secondo un'autorità garante della protezione dei dati, sono in contrasto con le clausole dell’allegato della decisione sulle CCT o con gli articoli 25 e 26 della direttiva e/o con la Carta, un’autorità garante della protezione dei dati sia tenuta a utilizzare i propri poteri esecutivi ai sensi dell’articolo 28, paragrafo 3, della direttiva al fine di sospendere i flussi di dati oppure se l’esercizio di tali poteri sia limitato solo ai casi eccezionali, alla luce del considerando 11 della direttiva [considerando 11 della decisione della Commissione 2010/87/UE], oppure se un’autorità garante della protezione dei dati possa utilizzare il suo potere discrezionale per non sospendere i flussi di dati.

(1) Se, ai fini dell’articolo 25, paragrafo 6, della direttiva, la decisione (UE) 2016/1250 4 (in prosieguo: la «decisione sullo scudo per la privacy») costituisca una constatazione di applicazione generale che vincola le autorità garanti della protezione dei dati e i giudici degli Stati membri, nel senso che gli Stati Uniti assicurano un livello di protezione adeguato ai sensi dell’articolo 25, paragrafo 2, della direttiva, a motivo della loro legislazione nazionale o degli impegni internazionali che hanno assunto.

(2) In caso contrario, quale eventuale rilevanza abbia la decisione sullo scudo per la privacy nella valutazione svolta sull’adeguatezza delle garanzie fornite ai dati trasferiti verso gli Stati Uniti ai sensi della decisione sulle CCT.

Se, considerate le conclusioni della High Court in relazione al diritto degli Stati Uniti, l’aver istituito il mediatore dello scudo per la privacy, ai sensi dell’allegato A dell’allegato III della decisione sullo scudo per la privacy, congiuntamente al regime in vigore negli Stati Uniti, garantisca che gli Stati Uniti prevedano un mezzo di ricorso in favore degli interessati i cui dati personali sono trasferiti negli Stati Uniti ai sensi della decisione sulle CCT che sia compatibile con l’articolo 47 della Carta.

Se la decisione sulle CCT violi gli articoli 7, 8 e/o 47 della Carta.

____________

1 Decisione 2010/87 della Commissione, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio (GU 2010, L 39, pag. 5).

2 Decisione di esecuzione (UE) 2016/2297 della Commissione, del 16 dicembre 2016, che modifica la decisione 2001/497/CE e la decisione 2010/87/UE relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio (GU 2016, L 344, pag. 100).

3 Direttiva n. 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

4 Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (GU 2016, L 207, pag. 1).