mercoledì , 21 novembre 2018
18comix
Facebook
©US Government

Schrems-Facebook: rivoluzione per la protezione dei dati

Un ‘approdo sicuro’, o almeno così pareva. Il 6 ottobre, la Corte di Giustizia ha decretato l’invalidità della decisione 2000/520/CE della Commissione, secondo cui le compagnie USA aderenti all’intesa nota come Safe Harbour garantiscono, come richiesto dalla direttiva 1995/46/CE per il trasferimento transfrontaliero dei dati, un livello di protezione equivalente a quello dell’UE. In base all’accordo (attualmente in fase di rinegoziazione), le compagnie che hanno seguito un procedimento di autocertificazione vengono automaticamente autorizzate a trasferire dati, con una presunzione di compliance con i principi UE in materia di privacy.

Il caso  Schrems – Facebook

Il cyber attivista austriaco Schrems è membro di Facebook dal 2008. Quando Snowden rivela l’esistenza del programma di sorveglianza di massa tramite PRISM da parte dell’NSA e l’uso massiccio da parte di esso di dati acquisiti da parte di attori privati (Google etc.), Schrems si preoccupa che i suoi dati, trasferiti a server USA e si appella all’autorità garante irlandese (sede europea di Facebook). Dopo un rifiuto di analisi del caso basato sulla presunzione del Safe Harbour, egli si è appellato alla High Court, la quale ha chiesto alla Corte UE se esso impedisca ad un’autorità di controllo nazionale di svolgere una valutazione indipendente sulla sicurezza del trasferimento dati ad un Paese terzo e, eventualmente, bloccarlo se a rischio.

La decisione della Corte 

La Corte ha affermato che il Safe Harbour non deve rappresentare un ostacolo per le autorità garanti, e che la Commissione non ha diritto di limitare i loro poteri. Tuttavia, esse non hanno il potere di annullare un atto, funzione riservata alla Corte: dunque, se esse reputano una decisione invalida, dovranno appellarsi ad un giudice nazionale, che potrà poi rivolgersi a Lussemburgo.

Nel merito, la Corte ha statuito che la Commissione non ha analizzato sufficientemente se il livello di protezione offerto dalle imprese operanti nell’ambito del Safe Harbour fosse adeguato per il rispetto della Direttiva e della Carta di Nizza. Dal momento che il regime di Safe Harbour decade a fronte di necessità di interesse nazionale degli USA, compagnie come Facebook hanno violato sistematicamente suddette garanzie. Inoltre, la Corte afferma essere provato che le autorità pubbliche USA (non vincolate dal regime) utilizzano dati per fini non solo esterni a quelli pattuiti nei termini e condizioni di trattamento, ma persino esulanti dall’interesse nazionale restrittivamente inteso. Tutto ciò, unito all’assenza di rimedi per i titolari dei dati, rende il livello di protezione offerto negli USA non adeguato ed in violazione della Direttiva e degli Articoli 8 e 47 della Carta.

Di conseguenza, la Corte ha dichiarato l’invalidità della decisione che recepiva il Safe Harbour ed ha autorizzato l’autorità di controllo irlandese a procedere ad un’indagine ed un’eventuale blocco del trasferimento dati da parte di Facebook ai server USA.

Le ripercussioni

Nell’età dell’informazione, in cui i dati hanno un valore inestimabile, la sentenza rappresenta un miglioramento del diritto dei cittadini UE alla protezione dei dati personali. Questa decisione potrà inoltre dare impulso ad inchieste riguardanti la sorveglianza di massa svolta da Paesi Membri quali il Regno Unito. Infine, la sentenza aumenterà il potere negoziale dell’UE nell’eventuale continuazione della rinegoziazione del Safe Harbour.

Tuttavia, migliaia di imprese (ad eccezione degli studi legali, che lucreranno sulle attività di consulenza sul nuovo quadro normativo), non solo nel settore tech, si trovano a pagare le conseguenze della sorveglianza indiscriminata svolta dagli USA. Esse potrebbero infatti essere sottoposte singolarmente a scrutinio ed obbligate dalle autorità di controllo a trasferire i loro archivi di dati all’interno del territorio UE o del singolo Stato. Le compagnie, oltre a poter ancora fruire delle deroghe della Direttiva (quali l’esecuzione di obblighi contrattuali, vitale interesse del titolare dei dati), potranno ricorrere ad alternative quali le binding corporate rules per i trasferimenti interni all’impresa, o model clauses da inserire tra termini e condizioni dei contratti.

Tuttavia, esse dovrebbero essere autorizzate dai Garanti, senza considerare il persistente dibattito sulla scarsa attenzione prestata dagli utenti nel dare il consenso al trattamento. Infine, non è detto che le autorità di controllo apprezzino i maggiori poteri di cui sono state investite: esse saranno anzi sottoposte ad una grande pressione, che rischia di causare significative inefficienze e rendere necessario lo stanziamento di più risorse. Tale aumento di potere rischia inoltre di portare, sebbene la Corte e la Commissione hanno affermato di essere pronte a favorire il coordinamento, ad una deleteria frammentazione normativa, con alcune autorità – come quella inglese – che potrebbero adottare misure più business-friendly rispetto ad altre.

Print Friendly, PDF & Email

L' Autore - Sofia Roveta

Laureanda in Giurisprudenza all'Università degli Studi di Torino. Appassionata di Diritto dell'UE e Diritto Internazionale, un interesse coltivato anche tramite la partecipazione ad alcuni progetti di respiro internazionale quali una Moot Court in arbitrato commerciale internazionale ed un progetto di assistenza ai richiedenti asilo promosso dallo IUC di Torino. Interessata alla dimensione transnazionale ed alla comparazione di modelli giuridici, ho avuto ed ho la fortuna di svolgere periodi di studio all'estero fra Parigi e Londra. Appassionata di scrittura, e già redattrice di alcuni blog e testate, sono felice di collaborare con Europae

Check Also

copyright

Copyright, cosa c’è di nuovo nella direttiva votata all’Europarlamento

Il 12 settembre segna una data importante per la gestione del diritto d’autore nell’Unione Europea. …

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *