PRIVACY

Trasferimento di Dati dall’UE Verso Paesi Terzi: La Corte di Giustizia UE Invalida il Safe Harbour

5261568726_d51149d62c_z
Scritto da Stefania Tonutti

Corte UE: rivoluzionaria sentenza che 15 anni dopo ha ribaltato il ‘safe harbour’ della Commissione Ue, ovvero la certezza, da anni certificata, che gli Stati Uniti garantissero la sicurezza dei dati personali degli utenti, trasferiti dall’Europa oltre l’Atlantico.

Foto di Duncan Hull

LA VICENDA1

Tutto nasce dal caso di Maximilian Schrems, uno studente austriaco iscritto a Facebook dal 2008. Come accade per tutti gli utenti che risiedono nell’Unione, i dati forniti da Schrems ai social network sono trasferiti dalla filiale irlandese della società (unica sede europea) a server situati negli U.s.a, dove vengono conservati.
È il settembre del 2011 quando Schrems chiede a Facebook l’ostensione dei suoi dati che il social mantiene e tratta. Quindi invia una richiesta, come previsto dalla normativa europea, utilizzando il modulo predisposto da Facebook.

Alla prima richiesta il social network rifiuta la completa visura giustificandosi perché i dati erano considerati: “trade secret or intellectual property of Facebook Ireland Limited or its licensors”.
Schrems insiste, finché si vede recapitare, sotto forma di CD, oltre 1200 pagine in formato A4 contenneti tutto ciò che Facebook aveva conservato su di lui in 3 anni di frequentazione on line. Partendo dal presupposto che il sito sosteneva di conservare i dati dei suoi utenti non oltre i 90 giorni, secondo Schrems alcuni di quei dati erano stati da lui addirittura cancellati, ma permanevano comunque fra quelli trattati da Facebook.

Il ragazzo presenta 22 ricorsi per violazione della privacy al Garante competente su Facebook, il DPC (Data Protection Commissioner) dell’Irlanda ( e cioè la sede europea di Facebook), ritenendo che, alla luce delle rivelazioni del 2013 di Edward Snowden sull’attività dei servizi d’intelligence dell’Nsa, il diritto e le prassi statunitensi non offrano alcuna protezione contro il controllo dello Stato americano sui dati trasferiti. Nel 2012 il Commissario europeo Viviane Reding cita addirittura questo caso per illustrare la predisponenda riforma europea in materia di tutela dei dati personali.2

La battaglia di Schrems si trasfonde fin da subito in un gruppo di pressione denominato emblematicamente Europe Vs Facebook (EvF), nel quale lavorano anche diversi giovani studenti di legge (come Schrems) e che porta avanti una serie di iniziative.

A seguito dell’indagine, durata due mesi, il Garante per la privacy irlandese emette un rapporto finale nel quale predispone alcune raccomandazioni alla quali Facebook dovrà adeguarsi per essere in regola con la normativa europea, in particolare limitando il trattamento dei dati degli utenti in assenza di consenso e consentendo la cancellazione definitiva dei dati, compreso i profili inattivi.

L’autorità irlandese ha però respinto la denuncia di Schrems, invocando una decisione della Commissione UE del 26 luglio 20003, nello specifico il principio contenuto nel cosiddetto Safe Harbour, e considerando quindi gli U.s.a. un porto sicuro per i dati degli utenti. Secondo il DPC, infatti, la legittimità del comportamento di Facebook è garantito dall’adesione al Safe Harbor, il quale è stato ritenuto valido dalla Commissione europea al fine di autorizzare il trasferimento di dati verso gli Usa, e quindi non c’è spazio per un’indagine del DPC.

Ma EvF non demorde, e impugna la decisione del Garante rivolgendosi all’Alta Corte irlandese, la quale ribalta la decisione del DPC. Il Giudice Hogan ritiene che, sulla base delle rivelazioni di Snowden, le prove suggeriscano che i dati personali raccolti da Facebook in Europa vengono controllati in massa e su base indistinta dalle autorità americane, e anche se Schrems non ha una prova definitiva che il Safe Harbor è stato violato, egli è però nel suo pieno diritto di opporsi al trasferimento dei suoi dati verso un paese (gli Usa) la cui tutela dei diritti dei cittadini è sicuramente inferiore a quella garantita dalle norme europee.
Vista l’importanza del caso, l’Alta Corte irlandese rinvia la causa alla Corte di Giustizia dell’Unione europea.

Nel mentre, il 9 aprile 2015 si è tenuta la prima udienza preliminare presso il Tribunale regionale di Vienna della maxi “class action” contro Facebook, accusato da 25mila utenti di una serie di violazioni della privacy. Max Schrems, insieme ad altri 25mila iscritti al social network, ha mosso causa al sito per violazioni che vanno dal tracciamento “illegale”, in base alle leggi Ue, dei dati personali, alla collaborazione con il programma di sorveglianza Prism della National Security Agency Usa. La causa era stata originariamente depositata presso il Tribunale commerciale di Vienna ma questo l’aveva respinta e rinviata al Tribunale regionale.

Schrems accusa Facebook in Europa di attuare una policy sull’uso dei dati in contrasto con la legge Ue per la mancanza di effettivo consenso sull’uso di molti dei dati; per il supporto del programma di sorveglianza Prism della Nsa; per il tracciamento degli utenti di Internet su siti esterni (per esempio cliccando su “Mi piace”); per il monitoraggio e l’analisi degli utenti con sistemi per i Big data; per l’introduzione illecita della “Graph Search“; e per il trasferimento non autorizzato dei dati degli utenti ad applicazioni esterne.

Cosa si chiede a Facebook:
* di interrompere la sorveglianza di massa,
* di adottare una politica sulla privacy seria, comprensibile,
* di smettere di raccogliere dati di persone che non sono neppure utenti Facebook”

CHE COS’È IL SAFE HARBOUR?

La normativa europea (direttiva 46/95 art. 25) non consente il trattamento dei dati dei cittadini europei da parte di aziende che operano sotto la giurisdizione di paesi con norme non equivalenti (cioè con tutela inferiore per i diritti dei cittadini) a quelle europee.
L’art. 25 della Direttiva 95/46 CE (del Parlamento Europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati), al comma 1 infatti recita:

“Gli Stati membri dispongono che il trasferimento verso un Paese terzo di dati personali oggetto di un trattamento o destinati ad essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il Paese terzo di cui trattasi garantisce un livello di protezione adeguato
Il trasferimento è però consentito nei casi menzionati dall’articolo 26, comma 1, della Direttiva 95/46 (consenso della persona interessata, necessità del trasferimento ai fini di misure contrattuali/precontrattuali, interesse pubblico preminente, ecc.), nonché sulla base di strumenti contrattuali che offrano garanzie adeguate (articolo 26, comma 2, della Direttiva 95/46)4.
Il Safe Harbour è un accordo fra U.s.a. ed Unione Europea del 2000, in base al quale le aziende americane che vogliono trattare dati dei cittadini europei dichiarano di rispettare standard di tutela equivalenti a quelli europei.
Il programma Safe Harbour stabilisce alcuni principi che rispecchiano la direttiva in materia di protezione dei dati personali:
1. Gli utenti devono essere avvertiti sulla raccolta e l’utilizzo dei propri dati personali (le organizzazioni devono informare gli utenti in merito alle finalità per le quali vengono raccolte e utilizzate le informazioni, alle modalità della raccolta, agli eventuali terzi a cui vengono girate le informazioni ed infine alle modalità per contattare l’azienda per quesiti o reclami);
2. Ciascuno deve essere libero di rifiutare la raccolta dei dati e il loro trasferimento a terzi;
3. I dati possono essere trasferiti solo a organizzazioni che seguono principi adeguati di protezione dei dati;
4. Le aziende devono fornire garanzie contro il rischio che i dati vengano smarriti; 5) Devono essere raccolti solo i dati rilevanti ai fini della rilevazione;
5. Gli utenti hanno il diritto di accedere ai dati raccolti ed eventualmente a correggerli o cancellarli se sono inesatti;
6. Queste regole devono essere efficacemente attuate. Una volta che l’impresa ha aderito al programma, deve rinnovare la certificazione ogni 12 mesi.

Nel novembre 2001 anche il Garante italiano a tutela della privacy aveva preso atto dell’intesa tra Usa e Ue. “Sulla base dei principi fissati dalla Commissione europea, il Garante – scriveva all’epoca – preso atto della dichiarazione comunitaria di adeguatezza del livello di protezione garantito dalle organizzazioni aventi sede negli Stati Uniti d’America ed aderenti al c.d. accordo del Safe Harbour, ha autorizzato il trasferimento dei dati personali dall’Italia verso gli Usa; il Garante si è riservato di svolgere i necessari controlli su trasferimenti di dati e su connesse operazioni di trattamento, nonché di adottare eventuali provvedimenti di blocco o di divieto di trasferimento”5.

Tuttavia, già nel 2004 uno studio aveva evidenziato le gravi carenze del sistema Safe Harbour, l’assenza di controlli e la mancanza di effettive sanzioni. Secondo un altro studio del 2008 (Galexia), alcune aziende americane fingevano semplicemente di far parte del programma, oppure avevano le certificazioni scadute.

A seguito delle rivelazioni di Snowden l’accordo Safe Harbour ha ricevuto numerose critiche anche da parte delle istituzioni europee, al punto che la Commissione LIBE chiese la sospensione dell’accordo per quelle aziende che procedono tramite autocertificazione.6E, addirittura, nel marzo 2014 il Parlamento europeo ha approvato modifiche restrittive al trasferimento dei dati verso paesi terzi (modifiche che dovranno essere approvate dal Consiglio d’Europa) 7.

Nel 2013 il Commissario Reding ha sostenuto che forse il “porto sicuro” non era così sicuro, e le autorità tedesche per la protezione dei dati personali in un comunicato hanno criticato aspramente le modalità di gestione del Safe Harbour.8

LE CONCLUSIONI DELL’AVVOCATO GENERALE DELLA CORTE UE

(23 settembre 2015)9
“Nelle sue conclusioni, l’avvocato generale Yves Bot ritiene che l’esistenza di una decisione della Commissione che dichiara che un paese terzo garantisce un livello di protezione adeguato per i dati personali trasferiti non può elidere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della direttiva sul trattamento dei dati personali. Egli ritiene inoltre che la decisione della Commissione sia invalida.
L’avvocato generale considera anzitutto che i poteri d’intervento delle autorità nazionali di controllo, tenuto conto dell’importanza del loro ruolo in materia di protezione dei dati, devono rimanere integri. Se le autorità nazionali di controllo fossero vincolate in maniera assoluta dalle decisioni della Commissione, la loro indipendenza totale, di cui godono in forza della direttiva, risulterebbe inevitabilmente limitata. L’avvocato generale ne evince che, qualora un’autorità nazionale di controllo ritenga che un trasferimento di dati arrechi pregiudizio alla protezione dei cittadini dell’Unione per quanto attiene al trattamento di loro dati, essa ha il potere di sospendere detto trasferimento, e ciò a prescindere dalla valutazione generale svolta dalla Commissione nella sua decisione. Il potere riconosciuto dalla direttiva alla Commissione, infatti, non incide sui poteri conferiti dalla medesima direttiva alle autorità nazionali di controllo. In altre parole, la Commissione non dispone della competenza di limitare i poteri delle autorità nazionali di controllo. Sebbene l’avvocato generale riconosca che le autorità nazionali di controllo sono giuridicamente vincolate dalla decisione della Commissione, egli considera tuttavia che questo effetto obbligatorio non presenta una natura tale da implicare che le denunce siano respinte sommariamente, vale a dire immediatamente e senza alcun esame della loro fondatezza, e ciò a maggior ragione giacché il riconoscimento dell’adeguatezza del livello di protezione è una competenza condivisa tra gli Stati membri e la Commissione
*Peraltro, l’avvocato generale ritiene che, laddove vengano riscontrate carenze sistemiche nel paese terzo verso cui i dati personali sono trasferiti, gli Stati membri devono poter adottare le misure necessarie per salvaguardare i diritti fondamentali tutelati dalla Carta dei diritti fondamentali dell’Unione europea, tra cui figurano il diritto al rispetto della vita privata e della vita familiare e il diritto alla protezione dei dati a carattere personale si evince infatti che il diritto e la prassi degli Stati Uniti consentono di raccogliere, su larga scala, i dati personali di cittadini dell’Unione che sono trasferiti, senza che questi ultimi usufruiscano di una tutela giurisdizionale effettiva. Tali constatazioni di fatto dimostrano che la decisione della Commissione non contiene garanzie sufficienti. Considerata questa carenza di garanzie, tale decisione è stata attuata in modo non rispondente ai requisiti sanciti dalla direttiva e dalla Carta. L’avvocato generale reputa inoltre che l’accesso dei servizi di intelligence americani ai dati trasferiti costituisca un’ingerenza nel diritto al rispetto della vita privata e nel diritto alla protezione dei dati a carattere personale, che sono garantiti dalla Carta. Analogamente, la circostanza che per i cittadini dell’Unione sia impossibile essere sentiti sulla questione dell’intercettazione e del controllo dei loro dati negli Stati Uniti rappresenta, secondo l’avvocato generale, un’ingerenza nel diritto, tutelato dalla Carta, di ogni cittadino dell’Unione ad una effettiva difesa.

A parere dell’avvocato generale, tale ingerenza nei diritti fondamentali è contraria al principio di proporzionalità, soprattutto perché il controllo esercitato dai servizi di intelligence americani è massiccio e non mirato

IN SINTESI: Secondo Yves Bot i Garanti nazionali sono vincolati dalle decisioni della Commissione Europea, e quindi dall’accordo del 2000 Safe Harbour, e devono rispettarlo. Ma sono altresì obbligati, in presenza di una circostanziata denuncia di un cittadino, ad effettuare le indagini del caso e verificare se effettivamente il patto è rispettato nella sua applicazione, arrivando fino, conclude Bot, a disapplicare l’accordo in caso di evidenze di mancato rispetto degli standard sulla tutela dei dati.

LA RISPOSTA DEGLI USA

(28 settembre2015)
Successivamente la United States Mission, con una nota datata 28 settembre10, risponde alle dichiarazioni UE, non tollerando di essere etichettata come un “Paese a rischio privacy”, sostenendo che gli USA non svolgono una sorveglianza di massa generalizzata, e il programma PRISM è autorizzato dalla legge, conforme alle limitazioni normative e mirato su particolari obiettivi. Accusano inoltre l’Europa di voler chiudere il mercato digitale globale.11

LA SENTENZA DELLA CORTE UE (6 ottobre 2015)

La Corte Ue ha dichiarato invalida la decisione della Commissione Ue secondo cui gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali. D’ora in poi a Facebook si potrà vietare di «conservare» negli Stati Uniti i dati degli iscritti.
Ha confermato quanto sostenuto dall’avvocato generale della Corte di Giustizia Ue, Yves Bot, e ha dichiarato non valido il Safe Harbor della Commissione datato 26 luglio del 2000.12

Solo la Corte è competente a dichiarare invalido un atto dell’Unione, ma le autorità nazionali di controllo, investite di una domanda, possono, anche se esiste una decisione della Commissione che dichiara che un paese terzo offre un adeguato livello di protezione dei dati personali, esaminare se il trasferimento dei dati di una persona verso quel paese rispetta i requisiti della normativa dell’Unione sulla protezione di tali dati, nonché adire i giudici nazionali, allo stesso titolo della persona interessata, affinché procedano ad un rinvio pregiudiziale per l’esame della validità della decisione. Quindi l’esistenza di una decisione della Commissione non può sopprimere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della Carta dei diritti fondamentali dell’Unione europea e della direttiva.
Anche quando esiste una decisione della Commissione, quindi, le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti i requisiti stabiliti dalla direttiva. Tuttavia, la Corte ricorda che solo essa è competente a dichiarare invalida una decisione della Commissione, così come qualsiasi atto dell’Unione. Pertanto, qualora un’autorità nazionale o una persona ritenga che una decisione della Commissione sia invalida, tale autorità o persona deve poter si rivolgere ai giudici nazionali affinché, nel caso in cui anche questi nutrano dubbi sulla validità della decisione della Commissione, essi possano rinviare la causa dinanzi alla Corte di giustizia. Pertanto, in ultima analisi è alla Corte che spetta il compito di decidere se una decisione della Commissione è valida o no.

La Corte Ue, si legge nella sentenza, rileva che le esigenze della sicurezza nazionale Usa “prevalgono sul regime dell’approdo sicuro” a cui sono sottoposti i dati privati dei cittadini europei trasferiti negli Usa “cosicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste”. Facebook raccoglie infatti su un server basato in Irlanda i dati degli utenti europei e da lì li trasferisce negli Usa. Di conseguenza “il regime americano dell’approdo sicuro rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone». Inoltre un sistema come quello Usa che «autorizza in maniera generalizzata la conservazione di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione verso gli Stati Uniti senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione» non si può considerare «limitato allo stretto necessario” come prevede il diritto europeo sulla conservazione dei dati personali.

Per Lussemburgo, quindi, “una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata”.
“Infine, la Corte dichiara che la decisione della Commissione del 26 luglio 2000 priva le autorità nazionali di controllo dei loro poteri nel caso in cui una persona contesti la compatibilità della decisione con la tutela della vita privata delle libertà e diritti fondamentali delle persone. LA Corte afferma che la Commissione non aveva la competenza di limitare in tal modo i poteri delle autorità nazionali di controllo. 
Per questo complesso di motivi, la Corte dichiara invalida la decisione della Commissione del 26 luglio 2000. 
Tale sentenza comporta la conseguenza che l’autorità irlandese di controllo è tenuta ad esaminare la denuncia del sig. Schrems con tutta la diligenza necessaria e che a essa spetta, al termine della sua indagine, decidere se, in forza della direttiva, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato 13

IN SINTESI: Gli Stati hanno il potere sovrano sui dati personali degli utenti e devono vigilare su di essi non limitandosi a rivolgersi al principio del porto sicuro.
La Corte Ue, nella sua lunga e complessa argomentazione, rileva che Facebook raccoglie su un server basato in Irlanda i dati degli utenti europei e da lì li trasferisce negli Usa, rendendo di conseguenza possibili diverse ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone.
Un tale accesso così generalizzato al contenuto di comunicazioni elettroniche deve essere considerato lesivo del diritto fondamentale al rispetto della vita privata.14
La Commissione, poi, stabilendo con la sua decisione del 2000 che gli Usa garantivano un adeguato livello di tutela della privacy, ha privato le autorità nazionali di controllo dei loro poteri.

CONSIDERAZIONI FINALI: COME ANDRÀ A FINIRE?

La decisione della Corte cambia decisamente le carte in tavola per le regole della privacy su internet, e come andrà a finire è tutto da vedersi; certo è che questa sentenza, con cui la Corte di giustizia europea ha invalidato il “Safe Harbour“, ossia l’accordo che negli ultimi 15 anni ha regolato lo scambio di dati tra USA e UE, apre a una serie di considerazioni difficili e importanti.
La Corte ribadisce che la sorveglianza di massa viola di per sé i diritti umani, e non è dunque accettabile.15

Tuttavia, sono anche da considerare gli interessi di migliaia di aziende, e non solo americane, che si sono accreditate in questi anni seguendo il Safe Harbour: questo potrebbe mettere a repentaglio un intero equilibrio economico mondiale, anche europeo, pensiamo solo ai colossi come Facebook, Google, Amazon, Twitter: accetteranno la decisione della Corte Ue? I tribunali o le varie Autorità Garanti saranno sommersi da ricorsi?
Da domani, chiunque potrà presentare delle segnalazioni come quelle di Schrems e chiedere alle autorità garanti nazionali se il trasferimento dei propri dati da parte di un’azienda americana su suolo americano garantisca i propri diritti. Se la gestione verrà giudicata non adeguata il trasferimento dati potrà essere bloccato. Il risultato potrebbe essere una crescente localizzazione dei dati di cittadini europei all’interno dell’Unione europea, oppure un cambiamento delle regole contrattuali, per cui verrà chiesto a tutti i clienti un consenso extra per il trasferimento dei dati all’estero.

La Commissione europea, pur di fatto obbligata a recepire la sentenza, ha invitato gli Stati a non prendere decisioni affrettate: bisogna continuare a garantire la continuazione del flusso dei dati in attesa che si trovino linee guida comuni nelle prossime settimane, in attesa di un nuovo accordo fra U.s.a ed Europa, o di un nuovo Safe Harbour in linea con i nuovi principi ed alla luce della oramai prossima entrata in vigore del Nuovo Regolamento Privacy Europeo e del Consiglio16.


  1. La sintesi e l’iter giurisprudenziale sono stati analizzati nell’articolo di Bruno Saetta, Europe vs Facebook: il Datagate alla Corte di Giustizia Europea,28 marzo 2015, reperibile on-line 
  2. http://ec.europa.eu/justice/data-protection/document/review2012/factsheets/3_en.pdf 
  3. Commission Decision 2000/520/EC of 26 July 2000, n. 2000/520/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità europee L 215 del 25 agosto 2000 e L 115 del 25 aprile 2001) secondo la quale i “Principi di approdo sicuro in materia di riservatezza” allegati alla medesima decisione, applicati in conformità agli orientamenti forniti da talune “Domande più frequenti” (FAQ) parimenti allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla Comunità ad organizzazioni aventi sede negli Stati Uniti sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense ivi menzionata (Decisione 2000/520/CE della Commissione, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti (GU 2000, L 215, pag. 7)). 
  4. Per quanto riguarda l’Italia, il trasferimento dei dati all’estero è disciplinato dal titolo VII (art. 42 e segg.) del Codice in materia di protezione dei dati personali. L’art. 42 salvaguarda la libera circolazione dei dati all’interno del territorio dell’Unione europea, mentre l’art. 43 del Codice regolamenta, invece, il trasferimento dei dati in paesi extracomunitari, consentendolo nelle ipotesi tassativamente indicate, come riprese dall’art. 25 della direttiva citata:
    “- quando l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;
    – quando è necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato;
    – quando è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;
    – quando è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2;
    – quando è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
    – quando è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l’osservanza delle norme che regolano la materia;
    – quando è necessario, in conformità ai rispettivi codici di deontologia di cui all’allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.”
    Il trasferimento verso Stati non membri dell’Unione europea è comunque possibile quando è autorizzato dal Garante per la protezione dei dati, sulla base di specifiche garanzie per l’interessato. Tali ipotesi sono dettagliate nell’art. 44 del Codice. Al di fuori delle ipotesi tratteggiate negli artt. 43 e 44, il trasferimento di dati all’estero, verso un paese non appartenente all’Unione europea, è vietato (art. 45) se il paese terzo non assicura un livello di tutela adeguato. È la Commissione europea che ha il potere di stabilire tale adeguatezza (lista delle decisioni di “adeguatezza”) attraverso una specifica decisione (articolo 25, comma 6, della Direttiva 95/46/CE). Per maggiori approfondimenti, si veda il sito brunosaetta.it 
  5. Fonte: il Sole24Ore 
  6. http://www.dataguidance.com/dataguidance_privacy_this_week.asp?id=2189. Libe è la commissione per le libertà civili, la giustizia e gli affari interni è competente per la protezione, nel territorio dell’Unione europea, dei diritti dei cittadini, dei diritti dell’uomo e dei diritti fondamentali, compresa la protezione delle minoranze, enunciati nei trattati e nella Carta dei diritti fondamentali dell’Unione europea. Essa tratta le questioni attinenti alla tutela dei dati personali e si occupa delle norme in materia di migrazione e asilo, della gestione integrata delle frontiere esterne nonché della cooperazione di polizia e giudiziaria in materia penale. 
  7. http://www.europarl.europa.eu/news/en/news-room/content/20140307IPR38204/html/MEPs-tighten-up-rules-to-protect-personal-data-in-the-digital-era. Senza contare la sentenza dell’8 aprile 2014 della Corte di Giustizia dell’Unione Europea (cause riunite C-293/12 e C-593/12), che ha dichiarato l’invalidità della direttiva europea n. 2006/24/CE, e quindi l’inefficacia fin dalla sua entrata in vigore. Tale direttiva era finalizzata ad armonizzare le disposizioni degli Stati membri sulla conservazione dei dati delle conversazioni telefoniche e del traffico telematico, trattati dai fornitori di comunicazione elettronica. Il suo scopo era garantirne la disponibilità a fini di indagine e di perseguimento di reati gravi.
    Ovviamente la direttiva non autorizzava la conservazione del contenuto delle comunicazioni né delle informazioni consultate, consentita solo in presenza di uno specifico mandato dell’autorità giudiziaria. Secondo la CGUE i dati raccolti sulla base della direttiva consentivano di ottenere indicazioni molto precise sulla vita privata degli utenti, come: le abitudini quotidiane, i luoghi di soggiorno anche temporanei, gli spostamenti, le attività svolte, le relazioni sociali. Tale tipo di raccolta permette, quindi, di ingerirsi in modo particolarmente grave nei diritti sanciti dalla Carta dei diritti fondamentali, in particolare dall’art. 7 (rispetto della vita privata) e 8 (protezione dei dati di carattere personale). 
  8. https://ssl.bremen.de/datenschutz/sixcms/detail.php?gsid=bremen236.c.9285.de 
  9. Conclusioni dell’avvocato generale nella causa C-362/2014 Maximilian Schrems/Data Protection Commisioner, Corte di Giustizia dell’Unione Europea, Comunicato Stampa n. 106/2015, Lussemburgo, 23 settembre 2015, http://www.curia.europa.eu 
  10. http://useu.usmission.gov/st-09282015.html 
  11. In ogni caso è comunque vero che l’Europa fin dal 2014 discute di una sorta di chiusura del mercato digitale, e in particolare la Germania ha proposto una realizzazione di un cloud europeo (Schengen cloud, dal quale verrebbe esclusa anche la Gran Bretagna considerata una quinta colonna degli USA), al fine di impedire lo spionaggio degli USA. L’approccio dovrebbe confluire nella revoca del Safe Harbor. Tale discussione è nata in Germania a seguito di una proposta di Deutsche Telekom (l’amministratore delegato Obermann addirittura parlava di una internet nazionale, Schland-Net), che fu discussa ai più alti vertici del governo. Già all’epoca, però, il Commissario europeo deputato alle problematiche digitali, Kroes, ne sostenne l’irrealizzabilità, pur richiamando la forte esigenza di una maggiore sicurezza dei dati. (http://www.valigiablu.it/il-6-ottobre-leuropa-processa-facebook-e-lo-spionaggio-americano/) 
  12. L’accordo Usa-Ue del “porto sicuro” stabiliva che il trasferimento di dati personali verso un paese terzo può, linea di principio, avere luogo solo “se il paese terzo garantisce un livello adeguato di protezione dei dati. La direttiva prevede inoltre che la Commissione possa constatare che un paese terzo garantisca un adeguato livello di protezione in ragione della sua legislazione nazionale o dei suoi impegni internazionali. Infine, la direttiva prevede che ogni Stato membro debba designare una o più autorità pubbliche responsabili del controllo dell’applicazione sul suo territorio delle disposizioni nazionali adottate in la base della direttiva 
  13. Il testo della sentenza è reperibile sul sito http://www.curia.eu, in inglese, la sintesi italiana è tratta dal comunicato stampa www.curia.europa.eu, Comunicato Stampa n. 117/2015, Lussemburgo, 6 ottobre 2015, Sentenza nella causa C-362/2014 
  14. Convenzione Europea dei Diritti dell’Uomo, art. 8, Diritto al rispetto della vita privata e familiare« 1.Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui.» 
  15. E la cosa non è nuova. Nel settembre 2015 un documento del Parlamento Europeo dichiara stop alla sorveglianza di massa, basta al monitoraggio dei cittadini europei, maggiori protezioni per whistleblower, giornalisti e attivisti – oltre che per gli utenti comuni, garantendo il loro effettivo diritto a proteggere le proprie comunicazioni (European Parliament, 3.6.2015, A8-0178/2015, REPORT on human Rights and Technology: the impact of intrusion and surveillance systems on human rights in third countries, http://www.marietjeschaake.eu/wp-content/uploads/2015/05/REPORT-on-Human-rights-and-technology-the-impact-of-intrusion-and-surveillance-systems-on-human-rights-in-third-countries-20142232INI.pdf). Anche l’Investigatory Powers Tribunal pare opporsi a questo tipo di sorveglianza (http://www.theguardian.com/uk-news/2015/feb/06/gchq-mass-internet-surveillance-unlawful-court-nsa). In un Rapporto redatto dalle Nazioni Unite nel settembre 2014 si sostiene che le violazioni alla privacy sono rese possibili anche dalla sorveglianza di massa (https://theintercept.com/2014/10/15/un-investigator-report-condemns-mass-surveillance/). Il Presidente dell’Autorità Garante italiana per la Protezione dei Dati Pesonali, in un’intervista rilasciata qualche giorno fa ha dichiarato: “E’ importante peraltro sottolineare che questa sentenza, insieme ai recenti pronunciamenti della giurisprudenza europea, conferma come la Corte sempre più spesso intenda richiamare le istituzioni europee e gli Stati membri ad un rispetto reale e concreto dei principi sanciti dalla Carta dei diritti fondamentali dell’Ue. La Corte ricorda a tutte le parti in causa che il panorama dei diritti è mutato con l’ingresso della Carta quale parte integrante dei Trattati fondamentali dell’UE, e che tutti gli strumenti e gli atti comunitari, passati e presenti, devono essere guardati con occhi nuovi, attraverso la lente della Carta.E’ la stessa ottica, del resto, in cui si muove il “pacchetto protezione dati” con il futuro Regolamento generale e la direttiva “polizia e giustizia”: entrambi rafforzano, fra le altre cose, i diritti degli interessati in Ue e i poteri delle autorità nazionali di protezione dati.” (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4308245) 
  16. Nel quale, al capo V (artt. 40-45) dedicato al Trasferimento di dati personali verso Paesi Terzi o Organizzazioni Internazionali, si prevede espressamente l’autorizzazione al trasferimento dei dati solo nel caso in cui il livello di protezione dei Paesi è adeguato, previa decisione di adeguatezza da parte della Commissione Europea. In mancanza di una decisione di adeguatezza della Commissione, i trasferimenti a paesi terzi siano subordinati ad adeguate garanzie, in particolare clausole tipodi protezione dei dati, norme vincolanti d’impresa e clausole contrattuali. 

Info sull'Autore

Stefania Tonutti

Dottoressa in Giurisprudenza, Dottoranda di ricerca in Diritto e Nuove Tecnologie e consulente privacy. Mi occupo di biodiritto, bioetica, privacy sanitaria, privacy genetica, biobanche e brevetti biotecnologici.

Leggi articolo precedente:
14025817193_564c61c806_z
Biobanche e Big Data (Sanitari)

Uso (e abuso) dell’immagine dei calciatori

6526317087_848d0f28b4_z
La stampa 3D: problematiche giuridiche

Chiudi