Causa C‑311/18
Data Protection Commissioner
contro
Facebook Ireland Ltd
e
Maximillian Schrems
[domanda di pronuncia pregiudiziale proposta dalla High Court (Irlanda)]
Sentenza della Corte (Grande Sezione) del 16 luglio 2020
«Rinvio pregiudiziale – Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Carta dei diritti fondamentali dell’Unione europea – Articoli 7, 8 e 47 – Regolamento (UE) 2016/679 – Articolo 2, paragrafo 2 – Ambito di applicazione – Trasferimento a fini commerciali di dati personali verso paesi terzi – Articolo 45 – Decisione di adeguatezza della Commissione – Articolo 46 – Trasferimento soggetto a garanzie adeguate – Articolo 58 – Poteri delle autorità di controllo – Trattamento da parte delle pubbliche autorità di un paese terzo, a fini di sicurezza nazionale, dei dati trasferiti – Valutazione dell’adeguatezza del livello di protezione garantito in un paese terzo – Decisione 2010/87/UE – Clausole tipo di protezione per il trasferimento di dati personali verso paesi terzi – Garanzie appropriate offerte dal titolare del trattamento – Validità – Decisione di esecuzione (UE) 2016/1250 – Adeguatezza della protezione garantita dallo scudo Unione europea-Stati Uniti per la privacy – Validità – Denuncia di una persona fisica i cui dati sono stati trasferiti dall’Unione europea verso gli Stati Uniti»
1. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Ambito di applicazione – Nozione di trattamento di dati personali – Trasferimenti di dati personali effettuati a fini commerciali da un operatore economico stabilito in uno Stato membro verso un altro operatore stabilito in un paese terzo – Inclusione – Dati che possono essere trattati dalle autorità del paese terzo considerato a fini di sicurezza nazionale – Irrilevanza
[Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 2, §§ 1 e 2, a), b) e d), e art. 4, punto 2)]
(v. punti 82, 83, 85‑89, dispositivo 1)
2. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Trasferimenti di dati personali verso paesi terzi – Trasferimenti soggetti a garanzie adeguate, fondati su clausole contrattuali tipo di protezione dei dati – Nozione di livello adeguato di protezione che il paese terzo considerato deve garantire all’atto del trasferimento – Interpretazione alla luce del diritto dell’Unione – Criteri di valutazione
[Carta dei diritti fondamentali dell’Unione europea, art. 52, § 3; regolamento del Parlamento europeo e del Consiglio 2016/679, art. 46, §§ 1 e 2, c)]
(v. punti 92‑96, 98‑101, 103‑105, dispositivo 2)
3. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Trasferimenti di dati personali verso paesi terzi – Trasferimenti soggetti a garanzie adeguate, fondati su clausole contrattuali tipo di protezione dei dati – Autorità nazionali di controllo – Poteri – Controllo sui trasferimenti di dati personali verso paesi terzi – Obbligo di sospendere o vietare trasferimenti siffatti in caso di mancato rispetto del livello di protezione adeguato nel paese terzo considerato – Presupposti
[Carta dei diritti fondamentali dell’Unione europea, art. 8, § 3; regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 45, 46, 51, § 1, 57, § 1, a) e f), e 58, §1, § 2, f) e j)]
(v. punti 107, 108, 112‑121, dispositivo 3)
4. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Trasferimenti di dati personali verso paesi terzi – Trasferimenti soggetti a garanzie adeguate, fondati su clausole contrattuali tipo di protezione dei dati – Decisione 2010/87 che stabilisce clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi – Garanzie adeguate offerte dai titolari di un trattamento siffatto stabiliti nell’Unione e dalle autorità di controllo – Obbligo per tali autorità di sospendere o vietare trasferimenti siffatti in caso di violazione delle suddette clausole – Diritti al rispetto della vita privata, alla protezione dei dati personali e ad una tutela giurisdizionale effettiva – Insussistenza della violazione – Validità della decisione
[Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8 e 47; regolamento del Parlamento europeo e del Consiglio 2016/679, art. 46, §§ 1 e 2, c); decisione della Commissione 2010/87, allegato]
(v. punti 128‑130, 133‑145, 148, 149, dispositivo 4)
5. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Trasferimento di dati personali verso paesi terzi – Adozione da parte della Commissione di una decisione che dichiara un livello di protezione adeguato in un paese terzo – Decisione 2016/1250 che constata un livello adeguato di protezione garantito dallo protezione garantito dallo scudo Unione Europea-Stati Uniti per la privacy – Autorità nazionale di controllo investita di una domanda che mette in discussione l’adeguatezza del livello di protezione garantito in tale paese terzo – Obbligo per tale autorità di esaminare la domanda – Esame della validità della decisione 2016/1250
(Art. 288, comma 4, TFUE; regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 45, § 3 e 77, § 1; decisione della Commissione 2016/1250, allegato II)
(v. punti 151‑161)
6. Diritti fondamentali – Carta dei diritti fondamentali dell’Unione europea – Rispetto della vita privata – Tutela dei dati personali – Conservazione e accesso ai dati personali al fine del loro utilizzo da parte delle autorità pubbliche – Ingerenza nei suddetti diritti fondamentali – Limitazioni all’esercizio di tali diritti – Rispetto del principio di proporzionalità
(Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 52, § 1, 2ª frase; regolamento del Parlamento europeo e del Consiglio 2016/679)
(v. punti 170‑176)
7. Tutela delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Trasferimento di dati personali verso paesi terzi – Adozione da parte della Commissione di una decisione che dichiara un livello di protezione adeguato in un paese terzo – Decisione 2016/1250 – Decisione 2016/1250 che constata un livello adeguato di protezione garantito dallo scudo Unione Europea-Stati Uniti per la privacy – Insussistenza di un livello di protezione sostanzialmente equivalente a quello garantito nel diritto dell’Unione – Violazione dei diritti al rispetto della vita privata e familiare, alla protezione dei dati personali e ad una tutela giurisdizionale effettiva delle persone cui si riferiscono tali trasferimenti – Istituzione di un meccanismo nell’ambito dello scudo per la privacy – Ininfluenza sulla violazione del diritto ad una tutela giurisdizionale effettiva – Invalidità della decisione
[Carta dei diritti fondamentali dell’Unione europea, artt. 7, 8, 47, 52, § 1, 2ª frase; regolamento del Parlamento europeo e del Consiglio 2016/679, art. 45, §§ 2, a), e 3; decisione della Commissione 2016/1250, allegato II]
(v. punti 180‑185, 187‑192, 195‑201, dispositivo 5)
8. Questioni pregiudiziali – Sindacato di validità – Dichiarazione d’invalidità di un atto dell’Unione – Decisione 2016/1250 che constata un livello adeguato di protezione offerta dal regime dello scudo Unione Europea-Stati Uniti – Effetti – Limitazione temporale – Insussistenza
(Art. 267 TFUE; regolamento del Parlamento europeo e del Consiglio 2016/679, art. 49; decisione della Commissione 2016/1250)
(v. punto 202)
Sintesi
La Corte invalida la decisione 2016/1250 sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy
Essa giudica invece valida la decisione 2010/87 della Commissione relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.
Ai sensi del regolamento generale sulla protezione dei dati (RGDP) (1) il trasferimento dei suddetti dati verso un paese terzo può avvenire, in linea di principio, solo se il paese terzo considerato garantisce a tali dati un adeguato livello di protezione. Secondo tale regolamento, la Commissione può constatare che, grazie alla sua legislazione nazionale o ad impegni internazionali, un paese terzo assicura un livello di protezione adeguato (2). In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi (3). Il RGDP stabilisce precisamente, inoltre, a quali condizioni può avvenire un trasferimento siffatto in mancanza di una decisione di adeguatezza o di garanzie adeguate (4).
Il sig. Maximillian Schrems, cittadino austriaco residente in Austria, è iscritto alla rete sociale Facebook dal 2008. Al pari di quanto avviene per gli altri utenti residenti dell’Unione, i dati personali del sig. Schrems sono trasferiti, in tutto o in parte, da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, ove sono oggetto di trattamento. Il sig. Schrems ha presentato all’autorità irlandese di controllo una denuncia diretta, in sostanza, a far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale paese. Tale denuncia è stata respinta, in particolare, sulla base del rilievo che nella sua decisione 2000/520 (5) (cosiddetta decisione «approdo sicuro»), la Commissione aveva constatato che gli Stati Uniti garantiscono un livello adeguato di protezione. Con sentenza pronunciata il 6 ottobre 2015 la Corte, investita di una questione pregiudiziale sottopostale dalla High Court (Alta Corte, Irlanda), ha dichiarato invalida tale decisione (in prosieguo la «sentenza Schrems I») (6).
A seguito della sentenza Schrems I e del successivo annullamento, ad opera del giudice irlandese, della decisione di rigetto della denuncia del sig. Schrems, l’autorità di controllo irlandese ha invitato quest’ultimo a riformulare la sua denuncia tenendo conto della dichiarazione di invalidità, da parte della Corte, della decisione 2000/520. Nella sua denuncia riformulata il sig. Schrems sostiene che gli Stati Uniti non offrono una protezione sufficiente per i dati trasferiti verso tale paese. Egli chiede di sospendere o vietare, per il futuro, i trasferimenti dei suoi dati personali dall’Unione verso gli Stati Uniti, che Facebook Ireland effettua oramai sul fondamento delle clausole tipo di protezione contenute nell’allegato della decisione 2010/87 (7). Considerando che il trattamento della denuncia del sig. Schrems dipenda, in particolare, dalla validità della decisione 2010/87, l’autorità di controllo irlandese ha avviato un procedimento dinanzi alla High Court (Alta Corte) affinché quest’ultima presentasse alla Corte una domanda di pronuncia pregiudiziale. Successivamente all’avvio di detto procedimento la Commissione ha adottato la decisione 2016/1250 sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (8) (cosiddetta decisione «scudo per la privacy»).
Con la sua domanda di pronuncia pregiudiziale il giudice del rinvio interroga la Corte sull’applicabilità del RGDP a trasferimenti di dati personali fondati su clausole tipo di protezione contenute nella decisione 2010/87, sul livello di protezione richiesto da tale regolamento nel quadro di un trasferimento siffatto e sugli obblighi che incombono alle autorità di controllo in tale contesto. La High Court solleva inoltre la questione della validità tanto della decisione 2010/87 quanto della decisione 2016/1250.
Con la sua sentenza in data odierna la Corte constata che dall’esame della decisione 2010/87 alla luce della Carta dei diritti fondamentali non è emerso alcun elemento idoneo ad inficiarne la validità. Essa dichiara invece invalida la decisione 2016/1250.
La Corte considera, anzitutto, che il diritto dell’Unione, e segnatamente il RGDP, si applica ad un trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del paese terzo considerato. La Corte precisa che tale tipo di trattamento di dati ad opera delle autorità di un paese terzo non può escludere un trasferimento siffatto dall’ambito di applicazione del regolamento.
Per quanto riguarda il livello di protezione richiesto nell’ambito di un trasferimento siffatto, la Corte dichiara che i requisiti previsti a tal fine dalle disposizioni del regolamento, attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che le persone i cui dati personali sono trasferiti verso un paese terzo sulla base di clausole tipo di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento, letto alla luce della Carta. In tale contesto essa precisa che la valutazione del suddetto livello di protezione deve prendere in considerazione tanto ciò che è stipulato contrattualmente tra l’esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel paese terzo considerato quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autorità di tale paese terzo ai dati così trasferiti, gli elementi pertinenti del sistema giuridico di quest’ultimo.
Relativamente agli obblighi che incombono alle autorità di controllo nel contesto di un trasferimento siffatto, la Corte dichiara che, salvo che esista una decisione di adeguatezza validamente adottata dalla Commissione, tali autorità sono segnatamente tenute a sospendere o vietare un trasferimento di dati personali verso un paese terzo quando ritengano, alla luce delle circostanze proprie di tale trasferimento, che le clausole tipo di protezione dei dati non siano o non possano essere rispettate in tale paese e che la protezione dei dati trasferiti, richiesta dal diritto dell’Unione, non possa essere garantita con altri mezzi, ove l’esportatore stabilito nell’Unione non abbia esso stesso sospeso tale trasferimento o messo fine a quest’ultimo.
La Corte esamina poi la validità della decisione 2010/87. Secondo la Corte, la validità di tale decisione non è rimessa in discussione dal solo fatto che le clausole tipo di protezione dei dati contenute in quest’ultima, per il loro carattere contrattuale, non vincolano le autorità del paese terzo verso il quale potrebbe essere effettuato un trasferimento di dati. Per contro, la Corte precisa che tale validità dipende dalla questione se la suddetta decisione contenga meccanismi efficaci che consentano, in pratica, di garantire che sia rispettato il livello di protezione richiesto dal diritto dell’Unione e che i trasferimenti di dati personali, fondati su tali clausole, siano sospesi o vietati in caso di violazione di tali clausole o di impossibilità di rispettarle. La Corte constata che la decisione 2010/87 instaura meccanismi di questo tipo e, a tal riguardo, sottolinea, in particolare, che tale decisione stabilisce un obbligo per l’esportatore dei dati e il destinatario del trasferimento di verificare, preliminarmente, che tale livello di protezione sia rispettato nel paese terzo considerato, e inoltre che la decisione impone al suddetto destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo.
La Corte procede infine all’esame della validità della decisione 2016/1250 rispetto ai requisiti risultanti dal RGDP, letto alla luce delle disposizioni della Carta che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale effettiva. A tal proposito la Corte rileva che la suddetta decisione, al pari della decisione 2000/520, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale paese terzo. Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario. Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo l’esistenza di limiti all’autorizzazione, in essa contenuta, dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. La Corte aggiunge che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.
Quanto al requisito della tutela giurisdizionale, la Corte ritiene che, contrariamente a quanto considerato dalla Commissione nella decisione 2016/1250, il meccanismo di mediazione previsto da tale decisione non fornisce a tali persone un mezzo di ricorso dinanzi ad un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione, tali da assicurare tanto l’indipendenza del Mediatore previsto da tale meccanismo quanto l’esistenza di norme che consentano al suddetto Mediatore di adottare decisioni vincolanti nei confronti dei servizi di intelligence statunitensi. Per tutte queste ragioni la Corte dichiara invalida la decisione 2016/1250.