Language of document : ECLI:EU:C:2015:650

Causa C‑362/14

Maximillian Schrems

contro

Data Protection Commissioner

[domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda)]

«Rinvio pregiudiziale – Dati personali – Protezione delle persone fisiche con riguardo al trattamento di tali dati – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Direttiva 95/46/CE – Articoli 25 e 28 – Trasferimento di dati personali verso paesi terzi – Decisione 2000/520/CE – Trasferimento di dati personali verso gli Stati Uniti – Livello di protezione inadeguato – Validità – Denuncia di una persona fisica i cui dati sono stati trasferiti dall’Unione europea verso gli Stati Uniti – Poteri delle autorità nazionali di controllo»

Massime – Sentenza della Corte (Grande Sezione) del 6 ottobre 2015

1.        Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Interpretazione alla luce dei diritti fondamentali

(Carta dei diritti fondamentali dell’Unione europea; direttiva del Parlamento europeo e del Consiglio 95/46)

2.        Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Autorità nazionali di controllo – Requisito di indipendenza

(Art. 16, § 2, TFUE; Carta dei diritti fondamentali dell’Unione europea, art. 8, § 3; direttiva del Parlamento europeo e del Consiglio 95/46, considerando 62 e art. 28, § 1)

3.        Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Autorità nazionali di controllo – Poteri – Controllo sui trasferimenti di dati personali verso paesi terzi – Inclusione

(Carta dei diritti fondamentali dell’Unione europea, art. 8, § 3; direttiva del Parlamento europeo e del Consiglio 95/46, art. 28)

4.        Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Trasferimento di dati personali verso paesi terzi – Adozione da parte della Commissione di una decisione che dichiara un livello di protezione adeguato in un paese terzo – Decisione con carattere vincolante per tutti gli Stati membri destinatari – Esame della validità di una siffatta decisione – Ruoli rispettivi delle autorità nazionali di controllo e dei giudici nazionali

(Art. 288, comma 4, TFUE; Carta dei diritti fondamentali dell’Unione europea, artt. 8, § 3, e 47; direttiva del Parlamento europeo e del Consiglio 95/46, artt. 25, § 6, e 28, §§ 3 e 4)

5.        Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Trasferimento di dati personali verso paesi terzi – Adozione da parte della Commissione di una decisione che dichiara un livello di protezione adeguato in un paese terzo – Autorità nazionale di controllo investita di una domanda relativa alla tutela dei diritti e delle libertà quanto al trattamento dei dati trasferiti relativi al richiedente – Richiedente che contesta l’adeguatezza del livello di protezione in tale paese terzo – Obbligo in capo a detta autorità di esaminare la domanda – Portata dell’esame

(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8 e 47; direttiva del Parlamento europeo e del Consiglio 95/46, artt. 25, § 6, e 28)

6.        Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Trasferimento di dati personali verso paesi terzi – Adozione da parte della Commissione di una decisione che dichiara un livello di protezione adeguato in un paese terzo – Nozione di livello di protezione adeguato – Criteri di valutazione – Potere discrezionale della Commissione

(Direttiva del Parlamento europeo e del Consiglio 95/46, art. 25, §§ 2 e 6)

7.        Ravvicinamento delle legislazioni – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Direttiva 95/46 – Trasferimento di dati personali verso paesi terzi – Adozione da parte della Commissione di una decisione che dichiara un livello di protezione adeguato in un paese terzo – Decisione 2000/520 che dichiara l’adeguatezza del livello di protezione negli Stati Uniti – Invalidità

(Carta dei diritti fondamentali dell’Unione europea; direttiva del Parlamento europeo e del Consiglio 95/46, artt. 25, § 6, e 28; decisione della Commissione 2000/520, artt. 1‑4)

8.        Diritti fondamentali – Rispetto della vita privata – Tutela dei dati personali – Normativa dell’Unione che comporta un’ingerenza in tali diritti fondamentali – Presupposti – Garanzie sufficienti contro i rischi di abuso – Rispetto del principio di proporzionalità

(Carta dei diritti fondamentali dell’Unione europea, artt. 7 e 8)

1.        V. il testo della decisione.

(v. punto 38)

2.        V. il testo della decisione.

(v. punti 40, 41)

3.        Le autorità nazionali di controllo dispongono di un’ampia gamma di poteri e questi, elencati in maniera non esaustiva all’articolo 28, paragrafo 3, della direttiva 95/46, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, costituiscono altrettanti mezzi necessari all’adempimento dei loro compiti, come sottolineato dal considerando 63 di tale direttiva. In tal senso, dette autorità godono, segnatamente, di poteri investigativi, come quello di raccogliere qualsiasi informazione necessaria all’esercizio della loro funzione di controllo, di poteri effettivi d’intervento, quale quello di vietare a titolo provvisorio o definitivo un trattamento di dati o, ancora, del potere di promuovere azioni giudiziarie.

Quanto al potere di controllare i trasferimenti di dati personali verso i paesi terzi, è vero che si evince dall’articolo 28, paragrafi 1 e 6, della direttiva 95/46 che i poteri delle autorità nazionali di controllo riguardano i trattamenti di dati personali effettuati nel territorio del loro Stato membro, cosicché esse non dispongono di poteri, sulla base di tale articolo 28, con riguardo ai trattamenti di siffatti dati effettuati nel territorio di un paese terzo. Tuttavia, l’operazione consistente nel far trasferire dati personali da uno Stato membro verso un paese terzo costituisce, di per sé, un trattamento di dati personali ai sensi dell’articolo 2, lettera b), della direttiva 95/46, effettuato nel territorio di uno Stato membro. Pertanto, dato che le autorità nazionali di controllo sono incaricate, ai sensi dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea e dell’articolo 28 della direttiva 95/46, di sorvegliare il rispetto delle norme dell’Unione relative alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, ciascuna di esse è investita della competenza a verificare se un trasferimento di dati personali dal proprio Stato membro verso un paese terzo rispetti i requisiti fissati da tale direttiva.

(v. punti 43‑45, 47)

4.        La Commissione può adottare, sulla base dell’articolo 25, paragrafo 6, della direttiva 95/46, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, una decisione che constata che un paese terzo garantisce un livello di protezione adeguato. Conformemente al secondo comma di tale disposizione, una siffatta decisione ha come destinatari gli Stati membri, i quali devono adottare le misure necessarie per conformarvisi. Ai sensi dell’articolo 288, quarto comma, TFUE, essa ha un carattere vincolante per tutti gli Stati membri destinatari e si impone pertanto a tutti i loro organi, nella parte in cui produce l’effetto di autorizzare trasferimenti di dati personali dagli Stati membri verso il paese terzo da essa interessato.

Pertanto, fintantoché la decisione della Commissione non sia stata dichiarata invalida dalla Corte, gli Stati membri e i loro organi, fra i quali figurano le loro autorità di controllo indipendenti, non possono certo adottare misure contrarie a tale decisione, come atti intesi a constatare con effetto vincolante che il paese terzo interessato da detta decisione non garantisce un livello di protezione adeguato. Infatti, gli atti delle istituzioni dell’Unione si presumono, in linea di principio, legittimi e producono pertanto effetti giuridici, finché non siano stati revocati o annullati nel contesto di un ricorso per annullamento ovvero dichiarati invalidi a seguito di un rinvio pregiudiziale o di un’eccezione di illegittimità.

Per quanto i giudici nazionali siano effettivamente legittimati ad esaminare la validità di un atto dell’Unione, essi non sono tuttavia competenti a constatare essi stessi l’invalidità di un siffatto atto. A fortiori, in sede di esame di una domanda, ai sensi dell’articolo 28, paragrafo 4, di tale direttiva, avente ad oggetto la compatibilità di una decisione della Commissione con la protezione della vita privata e delle libertà e dei diritti fondamentali della persona, le autorità nazionali di controllo non sono competenti a constatare esse stesse l’invalidità di una siffatta decisione.

Nel caso in cui detta autorità pervenga alla conclusione che gli elementi addotti a sostegno di una siffatta domanda sono privi di fondamento e, per questo motivo, la respinga, la persona che ha proposto detta domanda deve avere accesso, come si evince dall’articolo 28, paragrafo 3, secondo comma, della direttiva 95/46, in combinato con l’articolo 47 della Carta, dei diritti fondamentali dell’Unione europea, ai mezzi di ricorso giurisdizionali che le consentono di contestare una siffatta decisione impugnandola dinanzi ai giudici nazionali. In una situazione del genere, tali giudici devono sospendere il procedimento e investire la Corte di un procedimento pregiudiziale per accertamento di validità, allorché essi ritengano che uno o più motivi di invalidità formulati dalle parti o, eventualmente, sollevati d’ufficio siano fondati.

Nell’ipotesi contraria, in cui detta autorità reputi fondate le censure sollevate dalla persona che l’ha investita di una domanda relativa alla protezione dei suoi diritti e libertà con riguardo al trattamento dei suoi dati personali, questa stessa autorità, ai sensi dell’articolo 28, paragrafo 3, primo comma, terzo trattino, della direttiva 95/46, in combinato, segnatamente, con l’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’Unione europea, deve poter promuovere azioni giudiziarie. A tal riguardo, incombe al legislatore nazionale prevedere mezzi di ricorso che consentano all’autorità nazionale di controllo di cui trattasi di far valere le censure che essa reputa fondate dinanzi ai giudici nazionali, affinché questi ultimi procedano, qualora condividano i dubbi di tale autorità in ordine alla validità della decisione della Commissione, ad un rinvio pregiudiziale inteso all’esame della validità di tale decisione.

(v. punti 51, 52, 61, 62, 64, 65)

5.        L’articolo 25, paragrafo 6, della direttiva 95/46, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, letto alla luce degli articoli 7, 8 e 47 della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che una decisione adottata in forza di tale disposizione, con la quale la Commissione constata che un paese terzo garantisce un livello di protezione adeguato, non osta a che un’autorità di controllo di uno Stato membro, ai sensi dell’articolo 28 di tale direttiva, esamini la domanda di una persona relativa alla protezione dei suoi diritti e delle sue libertà con riguardo al trattamento di dati personali che la riguardano, i quali sono stati trasferiti da uno Stato membro verso tale paese terzo, qualora tale persona faccia valere che il diritto e la prassi in vigore in quest’ultimo non garantiscono un livello di protezione adeguato.

Se così non fosse, le persone i cui dati personali sono stati o potrebbero essere trasferiti verso il paese terzo di cui trattasi sarebbero private del diritto, garantito all’articolo 8, paragrafi 1 e 3, della Carta dei diritti fondamentali dell’Unione europea, di investire le autorità nazionali di controllo di una domanda ai fini della protezione dei loro diritti fondamentali.

Inoltre, una domanda, ai sensi dell’articolo 28, paragrafo 4, della direttiva 95/46, con la quale una persona fa valere che il diritto e la prassi di tale paese non assicurano, nonostante quanto constatato dalla Commissione in una decisione adottata in base all’articolo 25, paragrafo 6, di tale direttiva, un livello di protezione adeguato, deve essere intesa nel senso che essa verte, in sostanza, sulla compatibilità di tale decisione con la protezione della vita privata e delle libertà e dei diritti fondamentali della persona. In tali condizioni, qualora una persona i cui dati personali sono stati o potrebbero essere trasferiti verso un paese terzo che è stato oggetto di una decisione della Commissione in forza dell’articolo 25, paragrafo 6, della direttiva 95/46, investa un’autorità nazionale di controllo di una siffatta domanda, incombe a tale autorità esaminare detta domanda con tutta la diligenza richiesta.

(v. punti 58, 59, 63, 66 e dispositivo 1)

6.        L’espressione «livello di protezione adeguato», figurante all’articolo 25, paragrafo 6, della direttiva 95/46, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere intesa nel senso che esige che tale paese assicuri effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza di tale direttiva letta alla luce della Carta dei diritti fondamentali dell’Unione europea.

In tali condizioni, in sede di esame del livello di protezione offerto da un paese terzo, la Commissione è tenuta a valutare il contenuto delle norme applicabili in tale paese risultanti dalla legislazione nazionale o dagli impegni internazionali di quest’ultimo, nonché la prassi intesa ad assicurare il rispetto di tali norme; al riguardo, tale istituzione deve prendere in considerazione, in conformità all’articolo 25, paragrafo 2, della direttiva 95/46, tutte le circostanze relative ad un trasferimento di dati personali verso un paese terzo. Analogamente, alla luce del fatto che il livello di protezione assicurato da un paese terzo può evolversi, incombe alla Commissione, successivamente all’adozione di una decisione in forza dell’articolo 25, paragrafo 6, della direttiva 95/46, verificare periodicamente se la constatazione relativa al livello di protezione adeguato assicurato dal paese terzo in questione continui ad essere giustificata in fatto e in diritto. Una siffatta verifica è in ogni caso obbligatoria quando taluni indizi facciano sorgere un dubbio al riguardo.

Alla luce, da un lato, del ruolo importante svolto dalla protezione dei dati personali sotto il profilo del diritto fondamentale al rispetto della vita privata e, dall’altro, del numero significativo di persone i cui diritti fondamentali possono essere violati in caso di trasferimento di dati personali verso un paese terzo che non assicura un livello di protezione adeguato, il potere discrezionale della Commissione in ordine all’adeguatezza del livello di protezione assicurato da un paese terzo risulta ridotto, cosicché è necessario procedere ad un controllo stretto dei requisiti risultanti dall’articolo 25 della direttiva 95/46, letto alla luce della Carta dei diritti fondamentali dell’Unione europea.

(v. punti 73, 75, 76, 78)

7.        L’adozione, da parte della Commissione, di una decisione in forza dell’articolo 25, paragrafo 6, della direttiva 95/46, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, come la decisione 2000/520, sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti, richiede la constatazione, debitamente motivata, da parte di tale istituzione, che il paese terzo di cui trattasi garantisce effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’ordinamento giuridico dell’Unione.

Orbene, dato che la Commissione, nella sua decisione 2000/520, non ha proceduto a tale constatazione, l’articolo 1 di tale decisione viola i requisiti fissati all’articolo 25, paragrafo 6, della direttiva 95/46, letto alla luce della Carta dei diritti fondamentali dell’Unione europea, ed è pertanto invalido. Infatti, i principi dell’«approdo sicuro» sono applicabili soltanto alle organizzazioni americane autocertificate che ricevono dati personali dall’Unione, mentre dalle autorità pubbliche americane non si esige il rispetto di detti principi. Per di più, la decisione 2000/520 rende possibili ingerenze, fondate su esigenze connesse alla sicurezza nazionale e all’interesse pubblico o alla legislazione interna degli Stati Uniti, nei diritti fondamentali delle persone i cui dati personali sono o potrebbero essere trasferiti dall’Unione verso gli Stati Uniti, senza contenere alcuna dichiarazione quanto all’esistenza, negli Stati Uniti, di norme statali destinate a limitare le eventuali ingerenze in tali diritti e senza menzionare l’esistenza di una tutela giuridica efficace nei confronti delle ingerenze di tale natura.

Inoltre, la Commissione ha ecceduto la competenza attribuitale all’articolo 25, paragrafo 6, della direttiva 95/46, letto alla luce della Carta dei diritti fondamentali dell’Unione europea, adottando l’articolo 3 della decisione 2000/520, il quale è pertanto invalido. Infatti tale articolo deve essere inteso nel senso che esso priva le autorità nazionali di controllo dei poteri che esse traggono dall’articolo 28 della direttiva 95/46, nel caso in cui una persona, in occasione di una domanda basata su tale disposizione, adduca elementi idonei a rimettere in discussione il fatto che una decisione della Commissione che ha constatato, sul fondamento dell’articolo 25, paragrafo 6, di tale direttiva, che un paese terzo garantisce un livello di protezione adeguato, sia compatibile con la protezione della vita privata e delle libertà e dei diritti fondamentali della persona. Orbene, il potere di esecuzione che il legislatore dell’Unione ha attribuito alla Commissione con l’articolo 25, paragrafo 6, della direttiva 95/46 non conferisce a tale istituzione la competenza di limitare detti poteri delle autorità nazionali di controllo.

Poiché gli articoli 1 e 3 della decisione 2000/520 non possono essere separati dagli articoli 2 e 4, nonché dagli allegati alla medesima, la loro invalidità inficia la validità di tale decisione nel suo complesso.

(v. punti 82, 87‑89, 96‑98, 102‑105 e dispositivo 2)

8.        Una normativa dell’Unione che comporta un’ingerenza nei diritti fondamentali garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea deve prevedere regole chiare e precise che disciplinino la portata e l’applicazione della misura e impongano requisiti minimi in modo che le persone i cui dati personali sono interessati dispongano di garanzie sufficienti che permettano di proteggere efficacemente i loro dati contro il rischio di abusi nonché contro eventuali accessi e usi illeciti dei suddetti dati. La necessità di disporre di siffatte garanzie è tanto più importante allorché i dati personali sono soggetti a trattamento automatico ed esiste un rischio considerevole di accesso illecito ai dati stessi. Inoltre, e soprattutto, la protezione del diritto fondamentale al rispetto della vita privata a livello dell’Unione richiede che le deroghe e le restrizioni alla tutela dei dati personali operino entro i limiti dello stretto necessario.

In tal senso, non è limitata allo stretto necessario una normativa che autorizza in maniera generale la conservazione di tutti i dati personali di tutte le persone i cui dati sono stati trasferiti dall’Unione senza alcuna distinzione, limitazione o eccezione a seconda dell’obiettivo perseguito e senza che sia previsto alcun criterio oggettivo che permetta di delimitare l’accesso delle autorità pubbliche ai dati e il loro uso ulteriore a fini precisi, rigorosamente ristretti ed idonei a giustificare l’ingerenza che sia l’accesso sia l’utilizzazione di tali dati comporta.

In particolare, si deve ritenere che una normativa che consente alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche pregiudichi il contenuto essenziale del diritto fondamentale al rispetto della vita privata, come garantito dall’articolo 7 della Carta dei diritti fondamentali dell’Unione europea.

Analogamente, una normativa che non prevede alcuna possibilità per il singolo di avvalersi di rimedi giuridici al fine di accedere a dati personali che lo riguardano, oppure di ottenere la rettifica o la soppressione di tali dati, non rispetta il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, quale sancito all’articolo 47 della Carta dei diritti fondamentali dell’Unione europea. Infatti, l’articolo 47, primo comma, di tale articolo esige che ogni individuo i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati abbia diritto ad un ricorso effettivo dinanzi ad un giudice, nel rispetto delle condizioni previste in tale articolo. A tal riguardo, l’esistenza stessa di un controllo giurisdizionale effettivo, destinato ad assicurare il rispetto delle disposizioni del diritto dell’Unione, è inerente all’esistenza di uno Stato di diritto.

(v. punti 91‑95)