Circolazione dei dati e diritti fondamentali
Una recente sentenza ‘storica’ della Corte di Giustizia dell’Unione Europea ridisegna le regole per esportare dati negli USA. Il caso Schrems II.
La possibilità consentita dalle moderne tecnologie telematiche di rendere possibile con performance sempre crescenti la circolazione dei dati, se da una parte costituisce un’opportunità e un impulso significativo all’espansione commerciale o professionale degli operatori, intendendosi, ai fini di questo articolo, dunque, il commercio elettronico, in senso ampio, dall’altra, pone all’attenzione del giurista, e non solo, temi molto complessi che riguardano la protezione di alcuni diritti fondamentali, tra i quali il diritto alla protezione dei propri dati di carattere personale, dei fruitori delle prestazioni offerte.
Sembra opportuno constatare come, dematerializzare e digitalizzare alcuni rapporti, dal più semplice acquisto di un bene alla fruizione di servizi di supporto infrastrutturale articolati, e molti beni, quali per esempio il denaro, molte opere dell’ingegno, e i cosiddetti ‘trade secrets’, di fatto, consenta di creare dei veri e propri gemelli digitali, di gran parte delle attività svolte degli esseri umani, della cui custodia dell’integrità, della disponibilità o riservatezza, non sempre risulta agevole o possibile fornire contezza piena, in ragione della complessità intrinseca delle soluzioni applicative impiegate.
Quanto precede implica, come logica conseguenza, a parere di chi scrive, che la prima delle valutazioni che occorre svolgere nel posizionare, attraverso le tecnologie della società dell’informazione, una qualunque forma di impresa o attività commerciale o professionale, all’interno delle norme applicabili, sia quella relativa all’individuazione dei criteri di valutazione della scelta dei fornitori strategici per la continuità dell’erogazione della prestazione.
In questo scenario, si dovranno considerare caratteristiche tecniche delle soluzioni proposte, per esempio per la gestione in cloud dei dati e dei servizi, ivi compresi i livelli di servizio e assistenza forniti, ovvero caratteristiche organizzative, quali per esempio l’esistenza di politiche di protezione della sicurezza dei dati o di gestione dei diritti degli interessati, ma anche caratteristiche più marcatamente legali, quali per esempio, l’eventuale stipula da parte del fornitore di apposite coperture assicurative nel caso in cui si dovesse verificare una violazione dei dati o, ancora, la capacità, nel caso di fornitori che non abbiano sede all’interno dell’Unione Europea, ma offrano servizi a cittadini dell’Unione Europea, di assicurare un livello adeguato di protezione dei dati personali degli interessati.
Come si possono ‘esportare’ i dati dall’Unione
Come è noto secondo le norme in materia di protezione dei dati personali vigenti in Europa, il trasferimento di dati personali verso un Paese terzo può avvenire, in linea di principio, solo se il Paese terzo considerato garantisce a tali dati un adeguato livello di protezione, e la Commissione Europea può constatare con una decisione di adeguatezza che, grazie alla sua legislazione nazionale o a impegni internazionali, un Paese terzo assicura un livello di protezione adeguato.
In mancanza di una decisione di adeguatezza siffatta, un trasferimento del genere può essere effettuato solo se l’esportatore dei dati personali, stabilito nell’Unione, prevede garanzie adeguate, le quali possono risultare, in particolare, da clausole tipo di protezione dei dati adottate dalla Commissione, e se gli interessati dispongono di diritti azionabili e di mezzi di ricorso effettivi.
Invalidato il ‘Privacy Shield’. Accettate le Clausole Contrattuali Standard
Con la Sentenza nella causa C-311/18, Facebook Ireland e Schrems, la Corte di Giustizia dell’Unione Europea, lo scorso 17 luglio ha, con coerenza di argomentazione, dichiarando invalida la decisione 2016/1250, che consentiva il trasferimento di dati personali, verso società con sede negli Stati Uniti, a condizione dell’operatività del cosiddetto ‘Privacy Shield’, di fatto, reso necessario procedere, di volta in volta, alla verifica di garanzie adeguate per la protezione dei dati personali, attraverso il meccanismo delle cosiddette Clausole Contrattuali Standard o mediante richiesta, se del caso, di esplicito consenso.
Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.
Non assicurata protezione sufficiente ai dati personali
Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte rileva che, per taluni programmi di sorveglianza e intelligence, da detta regolamentazione non emerge in alcun modo l’esistenza di limiti all’autorizzazione, in essa contenuta, dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto nè le eventuali decisioni in merito all’esercizio dei diritti degli interessati sarebbero adottate da un soggetto in possesso dei necessari requisiti di terzietà rispetto alla dedotta controversia.
La decisione trae origine da un contenzioso intentato nel 2013 dal signor Max Schrems, che anche in esito alle decisioni della Commissione Europea, ha presentato all’autorità irlandese di controllo una denuncia diretta, in sostanza, a far vietare il trasferimento dei suoi dati da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurano una protezione sufficiente contro l’accesso, da parte delle pubbliche autorità, ai dati trasferiti verso tale Paese.
La Corte nella sentenza richiamata ha altresì precisato che la stessa normativa, pur se prevede requisiti che devono essere rispettati dalle autorità statunitensi nell’attuare i programmi di sorveglianza considerati, non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici.
Per concludere, non si può fare a meno di constatare come la disciplina dei diritti fondamentali della persona umana abbia un impatto significativo, anche nell’ambito delle attività di commercio elettronico, fondate sul trattamento di dati personali, in alcuni casi appartenenti anche a categorie particolari, quali per esempio, appartenenza ad un gruppo linguistico, o dati relativi alla salute dell’individuo o alle sue convinzioni, normalmente elaborati per acquistare on line libri, software, prodotti per la salute, applicazioni mobile.