Accedi Non sei ancora Registrato?
chiudi
Registrati

Iscriviti per ricevere i nostri articoli via email in tempo reale

Oops! Non è stato possibile trovare il tuo modulo.

chiudi
Chi Siamo
Portolano Cavallo concentra la propria attività nel settore TMT sin dalla sua nascita nel 2001 ed è ora riconosciuto come lo studio legale italiano leader in questo settore.
chiudi
Lo Studio
Portolano Cavallo è stato fondato nel 2001 dai soci Manuela Cavallo e Francesco Portolano. L’attività dello studio si concentra soprattutto su M&A e sul settore Media, sotto ogni aspetto.
chiudi
Blog
Ita / Eng
lug 1

Scambio di dati UE-US: ancora alla ricerca di un porto sicuro

Passate le consultazioni elettorali europee, con un nuovo presidente della Commissione designato e con una nuova Commissione in via di formazione si torna a parlare dei rapporti tra le due sponde dell’Atlantico con riferimento alla raccolta e allo scambio di dati dei cittadini europei attraverso internet dopo le rivelazioni di Edward Snowden.
L’occasione è offerta da una decisione dell’Alta Corte irlandese del 18 giugno scorso con la quale l’istanza giurisdizionale nazionale ha rivolto alla Corte di Giustizia dell’Unione europea una questione di pronuncia pregiudiziale relativa all’ambito di giurisdizione delle autorità garanti nazionali con riferimento alla verifica della compatibilità del meccanismo c.d. del safe harbour (adottato con decisione della Commissione del 26 luglio 2000 – 2000/520/CE “sull’adeguatezza della protezione assicurata alla privacy dai principi del safe harbour” ) con quanto previsto dagli articoli 7 e 8 della Carta dei Diritti fondamentali dell’Unione europea , relativi rispettivamente al rispetto della vita privata e familiare e al diritto alla protezione dei dati di carattere personale.

LA CAUSA PRINCIPALE

La causa principale dalla quale ha avuto origine la domanda di pronuncia pregiudiziale è stata avviata da un cittadino austriaco, studente di dottorato all’Università di Vienna, che almeno a partire dal 2008 ha presentato, da quanto risulta dagli atti di causa, ben 22 esposti al Garante privacy irlandese in relazione al trattamento dei propri dati personali da parte di Facebook Ireland, società con sede a Dublino. Un soggetto che come riconosciuto dalla Corte Irlandese appare quantomeno “[…] deeply concerned about data security and data protection law”, il quale, dopo le rivelazioni di Snowden e l’irrompere dello scandalo Datagate, ha presentato al garante irlandese il suo ventitreesimo esposto nel mese di giugno dello scorso anno sempre nei confronti dell’entità irlandese del gruppo che gestisce il noto social network.
In quest’ultimo caso lo studente austriaco ha chiesto al Garante irlandese di verificare se, in concreto, Facebook Ireland attraverso l’utilizzo dello strumento del safe harbour garantisse un’adeguata protezione ai dati di quest’ultimo nel trasferimento tra Repubblica d’Irlanda e Stati Uniti. Secondo la ricostruzione del ricorrente lo scandalo Datagate ha dimostrato che l’autocertificazione safe harbour non è in grado di assicurare un’adeguata protezione ai dati dei cittadini europei e ne chiede, quindi, lo scrutinio da parte del Garante competente.
Il Garante irlandese, tuttavia, con due missive del luglio 2013 respingeva il ricorso presentato dal cittadino austriaco sostenendo che difettasse, sulla base della vigente legislazione irlandese, della giurisdizione necessaria per decidere della questione o, in ogni caso, per condurre indagini sull’efficacia e il livello di protezione offerto dal safe harbour. Secondo il Garante, infatti, poiché Facebook Ireland, come tante altre internet companies con sede in Irlanda come referenti europee di società statunitensi, ha certificato il rispetto dei principi del safe harbour e tale strumento, secondo la Commissione europea, assicura un adeguato livello di protezione, non vi è spazio per il Garante di condurre autonome indagini per verificare quanto sopra.

LA QUESTIONE PREGIUDIZIALE

La Corte irlandese investita del ricorso avverso il provvedimento del Garante presentato dallo studente non appare dello stesso avviso.
Anzitutto la Corte considera il ricorso non infondato, né vessatorio e dunque ricevibile. Poi rispondendo a un’obiezione sollevata dal Garante nel corso del giudizio, i giudici rilevano come è vero che non vi è prova che i dati del cittadino austriaco siano stati trattati in modo illecito dalle autorità statunitensi, ma risulta, altrettanto, evidente che, anche alla luce di quanto emerso nell’ambito del Datagate, vi è la preoccupazione fondata che la protezione assicurata dagli Stati Uniti ai dati personali degli utenti europei non sia adeguata, né in linea con il livello di protezione offerto dalla disciplina comunitaria in materia.
In questo quadro, l’Alta Corte dopo un’attenta disamina della disciplina nazionale e comunitaria in materia rileva come il ricorso non sia diretto a sottoporre a scrutinio in via principale il safe harbour quanto piuttosto, appaia finalizzato a chiarire e definire gli ambiti di operatività dell’autorità garante nazionale con riferimento alla verifica dei presupposti di fatto sui quali si basa la decisione della Commissione del 2000 sul safe harbour.
Tale azione di delimitazione dei confini non può però essere condotta, secondo l’Alta Corte, in una prospettiva esclusivamente nazionale ma, in considerazione del carattere europeo della vicenda e della relativa regolamentazione, richiede un intervento della Corte di Giustizia.
La Corte europea viene dunque chiamata a chiarire da un lato, se le autorità nazionali della privacy possano verificare/contestare le conclusioni cui è giunta la Commissione europea nella sua decisione del 2000 e, sotto altro profilo, se, in caso di risposta affermativa alla prima domanda, le autorità nazionali possano condurre delle indagini autonome per verificare l’attualità dei presupposti di fatto sui quali si poggia la decisione della Commissione in considerazione dei 14 anni trascorsi dalla sua adozione e dagli sviluppi intervenuti sul tema dopo lo scandalo Datagate.

CONCLUSIONI

La decisione che si segnala è senza dubbio idonea a riavviare il dibattito in corso a livello europeo e di singoli Stati membri in relazione all’adeguatezza dello strumento del safe harbour per assicurare un’efficacie protezione ai dati dei cittadini europei trasferiti oltreoceano. Da notizie di stampa e dichiarazioni ufficiali sembra che sotto tale profilo qualcosa si stia muovendo nei rapporti tra UE e US e si dovrebbe giungere ad una revisione del safe harbour nei prossimi mesi. La questione poi si situa nell’ambito di una partita più ampia che vede l’Europa come contraente debole su diversi tavoli dall’energia al trattato di libero scambio con gli Stati Uniti, rispetto ai quali le questioni legate al rispetto della privacy dei cittadini europei e all’esportazione del modello europeo di tutela appaiono, in un’ottica di realpolitik, periferiche se non marginali.
Vedremo se la Corte di Giustizia considererà ricevibile la questione proposta e quando calendarizzerà la decisione sulla stessa. Non è escluso che in caso di ulteriore impasse delle autorità politiche continentali, la Corte europea voglia dire la propria come avvenuto con la decisione Google Spain, che di fatto ha “anticipato” l’adozione del tanto discusso regolamento privacy con riferimento al diritto all’oblio e alla giurisdizione delle istanze nazionali, o con la decisione sulla direttiva data retention che ha rivoluzionato il rapporto tra privacy e sicurezza nello spazio giuridico europeo, travolgendo anni di elaborazione oltre che legislazioni emergenziali post 11 settembre.

Articolo inserito in: Internet, E-Commerce