Corte di Giustizia UE: annullata la decisione che attesta che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti

6 ottobre 2015

La Corte di Giustizia dell'UE, con comunicato del 6 ottobre 2015, annuncia che con la Sentenza nella causa C-362-14, è stata invalidata la decisione della Commissione europea, del 26 luglio 2000, che attesta che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti. La Corte ha inoltre stabilito che qualora esista una decisione della Commissione che dichiara adeguato un livello di protezione in un paese terzo, le autorità nazionali di controllo possono comunque valutare, se richieste, se il trasferimento dei dati della persona verso quel paese rispetti i requisiti della normativa dell'Unione sulla protezione dei dati e possono anche adire i giudici nazionali, allo stesso titolo della persona interessata, affinché procedano ad un rinvio pregiudiziale per l'esame della validità della decisione. L'esistenza di una decisione della Commissione UE non può quindi sopprimere né ridurre i poteri di cui dispongono le autorità nazionali di controllo, in forza della Carta dei diritti fondamentali dell'Unione europea e della direttiva.

La direttiva 95/46/CE sul trattamento dei dati personali, prevede che il trasferimento dei dati verso un paese terzo possa avere luogo, in linea di principio, solo se il paese terzo garantisce un adeguato livello di protezione o un livello di tutela sostanzialmente equivalente alle libertà e ai diritti fondamentali garantiti all'interno dell'Unione e che la Commissione UE possa decidere che un paese terzo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, garantisca un livello di protezione adeguato.

La Commissione, secondo la Corte, non ha proceduto a tali valutazioni nella sua decisione, ma si è limitata ad esaminare il regime denominato "dell'approdo sicuro", un sistema esclusivamente applicabile alle imprese americane che lo sottoscrivono ed a cui, invece, le autorità pubbliche degli Stati Uniti non sono assoggettate, e che in ogni caso viene disapplicato anche dalle imprese per esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all'osservanza delle leggi statunitensi. Sotto il profilo della tutela equivalente, una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve quindi essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata; a questo si aggiunge la mancanza di rimedi giuridici esperibili, che viola il diritto fondamentale ad una tutela giurisdizionale effettiva.

Il caso esaminato dalla Corte riguarda un cittadino europeo, utente di Facebook dal 2008, i cui dati sono trasferiti, come avviene per gli utenti UE di tale servizio, in tutto o in parte, a partire dalla filiale irlandese di Facebook, su server situati nel territorio degli Stati Uniti, dove i dati vengono trattati. Il cittadino ha adito l'autorità irlandese di controllo, alla quale in base alla sentenza spetterà decidere, al termine della sua indagine, se in forza della direttiva occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato. Per approfondimenti si veda il testo integrale della sentenza che sarà pubblicato sul sito della Corte di giustizia.