La nuova proposta di decisione di adeguatezza della Commissione europea riguardo agli Usa: lo scudo UE/USA per la privacy

1 . I trasferimenti di dati personali UE negli USA: l’Approdo sicuro e lo Scudo UE-USA per la privacy.

Il 2 febbraio 2016 la Commissione europea ha annunciato il raggiungimento di un accordo di principio tra la UE e gli USA quanto alle condizioni alle quali i dati personali UE possono essere trasferiti in tale Stato terzo. Tale accordo è stato seguito, il 29 febbraio 2016, dalla presentazione da parte della Commissione di una proposta di decisione di adeguatezza riguardo agli USA, ossia il c.d. Scudo UE-USA per la privacy.

Tale proposta trova la propria base giuridica nel paragrafo 6 dell’articolo 25 della direttiva 95/46 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, la quale sarà peraltro sostituita a breve dal nuovo regolamento sulla protezione dei dati nell’UE, appena adottato dal legislatore UE (a seguito dell’accordo politico del dicembre 2015 tra Consiglio e Parlamento europeo nell’ambito della procedura dei triloghi, il regolamento è stato, infatti, formalmente approvato dal primo l’8 aprile e dal secondo il 14 aprile 2016). Considerato che «il trasferimento verso un paese terzo di dati personali [UE può avvenire] soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato» (paragrafo 1), l’articolo 25 della detta direttiva (e l’articolo 41 del regolamento) stabilisce che qualora la Commissione europea constati che un paese terzo non garantisce un livello di protezione adeguato (paragrafo 4) o viceversa che tale paese garantisce un livello di protezione adeguato (paragrafo 6), essa adotta una decisione. Lo Scudo UE/USA per la privacy è, per l’appunto, una decisione di adeguatezza di cui al paragrafo 6 della disposizione in esame. Mediante quest’ultima, la Commissione, pur ritenendo che il sistema USA non tuteli i dati personali allo stesso livello dell’Unione (a differenza dell’UE, gli USA non prevedono questo diritto a livello costituzionale, né lo tutelano attraverso uno strumento legislativo “orizzontale” analogo alla direttiva o al regolamento, ma regolano per lo più tale materia con norme solo settoriali applicate peraltro da una pluralità di autorità pubbliche differenti), ha subordinato il riconoscimento dell’adeguatezza al rispetto da parte delle imprese USA che vogliano liberamente importare dati UE di regole contenute nella predetta proposta (c.d. condizioni di notifica, rifiuto e consenso, trasferimento successivo, sicurezza, sull’integrità dei dati, accesso, garanzie di applicazione), le quali sono il frutto delle negoziazioni condotte tra UE e USA dal 2013 ad oggi (Comunicazione COM(2013)846, Ripristinare un clima di fiducia negli scambi di dati fra l’UE gli USA). Il funzionamento del regime in esame si fonda sull’autocertificazione del rispetto degli impegni da parte delle singole imprese aderenti. Benché l’adesione ai principi stabiliti dalla decisione sia volontaria, tali impegni sono vincolanti ai sensi del diritto USA per le entità che li hanno sottoscritti e il loro rispetto è soggetto ai poteri di controllo e di sanzione della Federal Trade Commission e del Dipartimento del commercio statunitense.

L’elaborazione da parte della Commissione dello Scudo UE/USA per la privacy è particolarmente importante dato che esso ha colmato il vuoto determinato dall’annullamento, totale ed ex tunc, della precedente decisione di adeguatezza UE/USA (c.d. Approdo sicuro) da parte della Corte di giustizia nella sentenza Schrems del 6 ottobre 2015 (qui sia consentito rinviare a S. Crespi, La tutela dei dati personali UE a seguito della sentenza Schrems) per incompatibilità con l’articolo 8 (diritto alla tutela dei dati personali) della Carta dei diritti fondamentali, il che ha a sua volta impedito alle imprese di trasferire i dati dall’UE agli USA solo autocertificando il rispetto delle regole Approdo sicuro dal giorno della pronuncia. L’impossibilità di usare, peraltro senza alcun periodo di adattamento, lo strumento tradizionalmente impiegato da molte imprese negli ultimi quindici anni per trasferire i dati UE verso gli USA ha comprensibilmente creato preoccupazioni nell’industria (Lettera aperta sull’attuazione della sentenza Schrems del 13 ottobre 2015, inviata al presidente della Commissione, Jean-Claude Juncker, e firmato da varie associazioni e società dell’industria dell’UE e degli USA). In tal modo si è reso quindi necessario un tempestivo intervento da parte della Commissione europea. Ciò è a maggior ragione vero considerato che, in mancanza di una decisione di adeguatezza che definisce per tutti gli Stati membri le condizioni alle quali i dati personali UE possono essere trasferiti verso Stati terzi, un analogo livello di certezza giuridica può difficilmente essere raggiunto mediante gli strumenti alternativi previsti dall’articolo 26 della direttiva 95/46, ossia le clausole contrattuali e le norme vincolanti d’impresa. In tali casi, la responsabilità di assicurare un livello appropriato di protezione ai sensi dell’articolo 25 della direttiva nell’ambito di trasferimenti internazionali dei dati incombe alle singole imprese esportatrici di dati (che non possono dunque affidarsi a una valutazione svolta dalla Commissione), sotto il controllo dei garanti UE, i quali sono tenuti ad autorizzare l’uso delle singole clausole contrattuali e norme vincolanti di impresa (solo) in quanto assicurino un livello di protezione appropriato. Considerato l’elevato livello di protezione che la Corte ha richiesto in Schrems per i trasferimenti internazionali di dati (i giudici UE, da un alto, hanno interpretato il termine “adeguato” di cui all’articolo 25 della direttiva 95/46 come “sostanzialmente equivalente” agli standard UE, e dall’altro lato, hanno escluso che un trasferimento sia “adeguato” quando consenta l’accesso generalizzato ai dati UE da parte delle autorità di intelligence USA (punti 79-98)), è in effetti difficile, se non impossibile, che misure assunte dalle singole imprese possano da sole garantire un tale livello di protezione, nonché limitare le ingerenze di autorità pubbliche di un paese terzo. Mentre poi nel caso di una decisione di adeguatezza della Commissione europea i dati personali UE possono essere trasferiti verso Stati terzi solo semplicemente rispettando le regole ivi contenute, nel caso delle clausole contrattuali e delle norme vincolanti d’impresa il trasferimento è spesso subordinato all’autorizzazione caso per caso dei singoli garanti UE. La decisione di adeguatezza è allora per le imprese lo strumento migliore, in quanto più completo, semplice e dunque anche meno costoso, per effettuare i trasferimenti di dati personali tra la UE e gli Stati terzi. Dell’importanza dello strumento delle decisione di adeguatezza nel quadro dei trasferimenti di dati UE verso Stati terzi, sembra invero essere convinto anche il Gruppo “Articolo 29”, secondo cui, anche dopo Schrems, l’adozione di un nuovo accordo costituiva una parte fondamentale delle soluzioni tecniche e giuridiche per effettuare i trasferimenti di dati UE verso gli USA.

L’uso delle clausole contrattuali e delle norme vincolanti c.d. tipo elaborate rispettivamente dalla Commissione europea e dal Gruppo “Articolo 29” per facilitare l’impiego degli strumenti alternativi di cui all’articolo 26 della direttiva 95/46 e ridurre il grado di responsabilità in capo alle imprese sembra inoltre essere stato parimenti “congelato” da Schrems. Nonostante in quest’ultima sentenza la Corte abbia interpretato solo l’articolo 25 della predetta direttiva, talune autorità garanti hanno sostenuto la necessità di applicare i principi ivi elaborati anche oltre gli strumenti adottati su tale base giuridica (ossia le decisioni di adeguatezza) e dunque di valutare direttamente la compatibilità con l’articolo 8 della Carta anche degli strumenti alternativi adottati sulla (diversa) base dell’articolo 26 (v., ad es., il documento della Conferenza sulla protezione dei dati delle autorità tedesche di protezione dei dati a livello federale e statale del 26.10.2015, ove l’autorità di protezione dei dati tedesca afferma che non rilascerà più nuove autorizzazioni per l’uso degli strumenti alternativi).

Tali considerazioni non sembrano neppure subire delle modifiche qualora si ponga mente al sistema delle c.d. deroghe alternative di cui al paragrafo 1 dell’articolo 26 della direttiva 95/46. I casi ivi previsti nei quali i dati UE possono essere trasferiti a entità stabilite in un paese terzo a prescindere dall’uso delle clausole contrattuali o delle norme vincolanti d’impresa (ossia quando: (a) la persona interessata ha fornito, in modo inequivocabile, il proprio consenso al trasferimento; (b)  il trasferimento è necessario per la conclusione e l’esecuzione di un contratto concluso tra la persona interessata e il responsabile del trattamento o tra quest’ultimo e un terzo, per la salvaguardia di un interesse pubblico rilevante, per accertare, esercitare o difendere un diritto in via giudiziale, o ancora per la protezione di interessi vitali della persona interessata; (c) il trasferimento avviene a partire da un registro pubblico il quale, in forza di disposizioni legislative o regolamentari, è predisposto per l’informazione del pubblico ed è aperto alla consultazione del pubblico) sono, infatti, delle deroghe da interpretarsi e da applicarsi restrittivamente.

2. Le differenze tra l’Approdo sicuro del 2000 e lo Scudo UE/USA per la privacy del 2016.

Ad avviso della Commissione, la nuova decisione di adeguatezza tiene conto dei requisiti stabiliti dalla Corte nella pronuncia Schrems del 6 ottobre 2015. In effetti, rispetto alla decisione Approdo sicuro – che, come rilevato dai giudici di Lussemburgo (punti 79-98 Schrems), conteneva una motivazione piuttosto scarna – la nuova proposta si segnala anzitutto per la dettagliata motivazione (ben 36 pagine contro le sole 3 pagine della decisione Approdo sicuro).

Lo sforzo della Commissione di rispondere alle critiche mosse e ai criteri delineati dai giudici di Lussemburgo non ha tuttavia caratterizzato solo gli aspetti formali della decisione, interessando anche quelli sostanziali. In particolare, al fine di integrare le condizioni stabilite al punto 81 di Schrems secondo cui un sistema fondato sull’autocertificazione, quale era quello dell’Approdo sicuro, è ammissibile a condizione che il controllo del rispetto degli impegni assunti dalle imprese USA sia realmente effettivo, la nuova proposta, parimenti basata sul sistema dell’autocertificazione, ha sottoposto il rispetto dei nuovi impegni a un sistema di supervisione più incisivo. Lo Scudo UE/USA assicura prima di tutto che le denunce presentate da individui UE che ritengano violati i propri dati personali siano adeguatamente trattate, anche mediante l’introduzione di nuove e più accessibili vie di ricorso. Al riguardo, lo Scudo consente così agli individui UE di inoltrare reclami direttamente alle imprese USA, i quali devono trovare risposta entro 45 giorni. Inoltre, è ora disponibile un sistema di soluzione delle controversie consistente nella composizione extragiudiziale gratuita presso un “independent dispute resolution body” (considerando 31). I cittadini dell’UE si potranno anche rivolgere alle loro autorità nazionali di tutela dei dati, che collaboreranno con la Federal Trade Commission e il Dipartimento del commercio USA per assicurare che i reclami UE vengano effettivamente esaminati e risolti. Qualora infine gli individui UE ritengano che le autorità USA non abbiano risposto in modo soddisfacente al reclamo e/o la controversia non sia stata risolta mediante i predetti mezzi, essi, da soli o con l’assistenza dei garanti UE, possono adesso anche far ricorso, in ultima istanza, ad un meccanismo di arbitrato, la cui decisione sarà vincolante ed esecutiva.

La nuova proposta di decisione ha inoltre innalzato il livello generale degli impegni applicabili alle imprese USA che vogliano trasferire dati dall’UE, in tal modo ravvicinando il sistema ivi previsto agli standard europei. A titolo esemplificativo, la nuova proposta stabilisce condizioni più rigorose per quanto riguarda l’informazione dei singoli (condizioni di notifica), la possibilità di questi ultimi opporsi a trattamenti di dati UE per finalità diverse da quelle per cui essi sono stati originariamente raccolti (condizioni di scelta), nonché circoscrive i casi nei quali le imprese nordamericane possono effettuare trasferimenti di dati UE a terzi (condizioni di trasferimento successivo).

A differenza poi della decisione Approdo sicuro, che, come evidenziato dalla Corte (punti 92-95), non conteneva alcun limite all’accesso ai dati UE da parte autorità statunitensi per motivi di sicurezza nazionale, attività di contrasto e altri interessi pubblici, lo Scudo UE/USA per la privacy contiene per la prima volta limiti e salvaguardie in merito. In particolare, l’Ufficio del Direttore dell’intelligence USA ha fornito all’UE una garanzia scritta (allegato 6) secondo la quale l’accesso delle autorità pubbliche USA ai dati UE ai fini della sicurezza nazionale sarà soggetto a determinati limiti, garanzie e meccanismi di controllo di cui innanzitutto alla Presidential Policy Directive 28 (PPD-28) introdotta dalla Presidenza Obama nel 2014 proprio per stabilire delle condizioni all’accesso e all’uso dei dati da parte delle agenzie di intelligence nordamericane. Tali limitazioni – che riguardano non solo la raccolta (pp. 2-6) ma anche il trattamento e la divulgazione dei dati (pp. 6-7) – dovranno essere in grado in concreto di impedire l’accesso generalizzato ai dati. Le autorità statunitensi si sono inoltre impegnate (allegato 3) a introdurre una possibilità di ricorsoper gli individui UE in materia di intelligence e in effetti il Judicial Redress Act USA del 1 febbraio 2016 è proprio volto «to extend Privacy Act remedies to citizens of certified states» e dunque dell’UE. Tale ricorso sarà introdotto a una figura di nuova e apposita creazione, ossia il Privacy Shield Ombudsperson, che, pur parte del Dipartimento di Stato, è indipendentedai servizi di sicurezza USA. Tale mediatore tratterà i reclami e le richieste di informazioni da parte dei cittadini UE e li informerà sugli esiti delle stesse. Al fine di attribuire efficacia giuridica vincolante agli impegni scritti assunti dalle predette autorità USA, lo Scudo UE/USA stabilisce poi che essi siano pubblicati nel U.S. Federal Register. A differenza della decisione Approdo sicuro, la nuova proposta non si fonda allora più solo sugli impegni assunti volontariamente dalle singole imprese USA (autocertificazione), ma anche su quelli sottoscritti e sulle assicurazioni fornite direttamente dalle autorità pubbliche USA. Tale innovazione è particolarmente importante in quanto rafforza il carattere vincolante dell’intero sistema per il trasferimento internazionale di dati UE negli USA.

Lo Scudo UE/USA per la privacy ha introdotto un’ulteriore novità rispetto al regime Approdo sicuro, obbligando ora la Commissione europea e il Dipartimento del commercio USA alla revisione annuale della decisione e della valutazione di adeguatezza ivi sottesa, anche con il coinvolgimento di esperti nazionali di intelligence USA e delle autorità di protezione dei dati personali UE. Tale previsione dà così contenuto alle indicazioni della Corte di cui al punto 76 di Schrems. In tale passaggio della pronuncia i giudici di Lussemburgo, dopo aver precisato che il livello di protezione assicurato da un paese terzo può evolversi, hanno, infatti, affermato che « incombe alla Commissione, successivamente all’adozione di una decisione in forza dell’articolo 25, paragrafo 6, della direttiva 95/46, verificare periodicamente se la constatazione relativa al livello di protezione adeguato assicurato dal paese terzo in questione continui ad essere giustificata in fatto e in diritto». Per dare contenuto a tale affermazione di principio, la proposta di decisione prevede poi che tale revisione periodica verterà su tutti gli aspetti dello Scudo, ivi inclusi quelli attinenti all’acceso delle autorità pubbliche USA ai dati UE. A tal fine, la Commissione farà ricorso a tutte le altre fonti di informazioni disponibili, comprese le relazioni di trasparenza delle imprese in merito al livello delle richieste di accesso delle autorità pubbliche, nonché organizzerà una conferenza annuale sulla privacy con le organizzazioni non governative interessate e i portatori d’interessi pertinenti per discutere gli sviluppi nel settore del diritto alla privacy USA e del loro impatto sui cittadini UE. A seguito del riesame annuale e al fine di attribuire valore a tale nuova procedura, la Commissione europea potrà adesso anche avviare una procedura di sospensione della decisione e delle regole ivi previste. Tale potere potrà in particolare essere usato qualora le autorità USA, nella ambito della revisione annuale, non forniscano risposte soddisfacenti alla stessa. Questa previsione è particolarmente importante in quanto in rado di svolgere un ruolo dissuasivo avverso comportamenti non conformi delle imprese e delle autorità USA, incentivando anche il rispetto delle regole dello Scudo UE/USA per la privacy. Al fine di rafforzare ulteriormente tale effetto dissuasivo, la nuova decisione di adeguatezza prevede poi che la Commissione europea relazioni sempre in merito il Consiglio e il Parlamento europeo.

Le regole appena descritte potrebbero tuttavia dover essere parzialmente modificate per effetto del parere reso il 13 aprile 2016 dai garanti UE per la protezione dei dati personali (Gruppo “Articolo 29”). Quest’ultimo, pur sottolineando un significativo rafforzamento della tutela dei dati personali UE traferiti negli USA rispetto all’Approdo sicuro del 2000, ha affermato che la proposta «réclame des clarifications sur plusieurs points» (conferenza stampa del presidente del Gruppo “Articolo 29”, Falque-Pierrotin), il che indurrà probabilmente la Commissione e il Dipartimento del commercio USA a sedersi nuovamente al tavolo delle trattative. Al fine di dare attuazione concreta alle osservazioni del Gruppo “Articolo 29”, la proposta di decisione dovrà allora innanzitutto semplificare o comunque chiarire il sistema di ricorsi ai quali gli individui UE possono accedere qualora ritengano violati i propri diritti (e le regole dello Scudo) da parte di imprese USA, ponendo al “centro del discorso” i garanti UE. A tal fine, il Gruppo “Articolo 29” ha in effetti proposto che tali autorità UE diventino il “punto di contatto naturale” davanti ai quali gli individui UE possono far valere i propri diritti. Tra gli altri chiarimenti richiesti dai garanti UE figura poi l’introduzione di un più preciso principio in materia di limite alla conservazione dei dati, ossia della regola secondo cui l’impresa può conservare i dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento, e lo previsione di apposite garanzie per decisioni prese in base alla profilazione dei dati personali. Quanto inoltre alle limitazioni ai poteri delle autorità pubbliche USA nell’uso dei dati UE per ragioni di sicurezza nazionale, i garanti dell’UE hanno chiesto di precisare lo status, i poteri e l’indipendenza dell’Ombudsman.

Ulteriori modifiche alla proposta di decisione di adeguatezza della Commissione europea potrebbero peraltro essere apportate a seguito dell’ancora atteso parere del comitato composto da rappresentanti degli Stati membri nell’ambito della procedura di comitologia.

3. La compatibilità dello Scudo UE/USA per la privacy con la Carta: alcune riflessioni preliminari.

Tralasciando di considerare le eventuali modifiche alla proposta di decisione di adeguatezza del 2016 che la Commissione dovrà apportare alla stessa per effetto del parere del Gruppo “Articolo 29” del 13 aprile 2014, sembra necessario domandarsi se lo Scudo UE/USA per la privacy come concepito in origine sia compatibile con l’articolo 8 della Carta, così come interpretato restrittivamente dalla Corte in Schrems.

Ora, pur se la nuova proposta presenta molte novità rispetto alla decisione Approdo sicuro e dà vita a un sistema certamente più cautelativo dei dati UE di quello precedente, non è facile prevedere se il regime ivi istituito sia in grado di superare tale test di compatibilità, il quale sarà probabilmente sollecitato dopo l’adozione della nuova decisione di adeguatezza mediante rinvio pregiudiziale (dai giudici interni perché richiesti in tal senso dai garanti nazionali come previsto dalla Corte in Schrems) o invece ricorso in annullamento (dai ricorrenti privilegiati nel termine di due mesi dalla pubblicazione della decisione nella GUUE). Fino ad oggi, infatti, i giudici dell’Unione non hanno mai avuto occasione di pronunciarsi sull’intero sistema di trasferimento di dati UE negli USA, avendo in Schrems la Corte concentrato la propria attenzione solo su alcuni aspetti dello stesso, attinenti essenzialmente all’accesso ai dati UE da parte delle autorità pubbliche USA per motivi di sicurezza nazionale.

L’esito di tale (probabile futuro) giudizio dipenderà in particolare dalla interpretazione che la Corte svilupperà della nozione di “adeguatezza” di cui all’articolo 25 della direttiva 95/46. Considerato che lo Scudo UE/USA per la privacy non riflette perfettamente la disciplina UE (peraltro ulteriormente rafforzata nel regolamento rispetto alla direttiva 95/46) e che i sistemi UE e USA rimangono tra loro differenti nel settore in esame, è difficile pensare che la nuova decisione possa superare la censura UE qualora la Corte confermi l’intenzione di cui alla pronuncia Schrems (punti 70-73) di intendere tale espressione come sinonimo di “sostanziale equivalenza” e dunque di “quasi identità”. Viceversa, la nuova decisione potrebbe essere considerata compatibile con la Carta qualora – più correttamente a parere di chi scrive – i giudici dell’Unione intendano la nozione di “sostanzialmente equivalente” usata in Schrems come sinonimo di un livello di protezione che nel suo insieme (nonché per effetto delle regole ulteriori imposte dalla decisione di adeguatezza, che si aggiungono a quelle che le imprese USA dovrebbero rispettare per effetto del solo diritto nordamericano) può essere considerato “adeguato” agli standard UE. I giudici di Lussemburgo userebbero allora un metodo interpretativo analogo a quello usato dalla Corte di Strasburgo nella sentenza Bosphorus del 1995 per valutare l’adeguatezza del sistema dell’UE. Solo una interpretazione di questo tipo garantirebbe, infatti, di “navigare” tra sistemi giuridici – europeo e di Stati terzi – che proteggono i dati in maniera differente, pur mantenendo un elevato livello di tutela. Quest’ultimo sarebbe, infatti, superiore a quello previsto dal solo diritto USA, nonché a quello determinato in base alle clausole contrattuali o alle norme vincolanti d’impresa.

L’esito dell’eventuale futuro giudizio UE dipenderà inoltre dall’intensità del sindacato della Corte quanto alle condizioni, ai limiti e alle salvaguardie applicabili in caso di accesso delle pubbliche autorità USA ai dati UE, in particolare per motivi di sicurezza nazionale. Un giudizio di compatibilità sembra in effetti più plausibile qualora i giudici UE concentrino la propria analisi sulla solidità della motivazione alla decisione di adeguatezza UE e sull’assenza di errori manifesti o di contraddizioni, così come pare aver operato in Schrems (punti 88 e 96). L’esito della controversia pare invece più incerto qualora il controllo esercitato dalla Corte si spinga fino a sindacare il contenuto del diritto straniero, valutando se il diritto USA garantisca sufficienti garanzie alla luce dei criteri UE di proporzionalità e necessità. L’uso di un metodo interpretativo di questo tipo tuttavia esporrebbe probabilmente la giurisprudenza UE a critiche di “espansione extraterritoriale” (pur se relativamente al sistema ONU, v. però le sentenze UE Kadi del 2008 e del 2013). Tale interpretazione pare inoltre più in linea con la lettura della sentenza Schrems proposta dallo stesso Presidente della Corte di giustizia dell’Unione – Koen Lenaerts – in una intervista rilasciata al Wall Street Journal all’indomani della pronuncia in esame. In tale occasioni, quest’ultimo ha in effetti precisato che in Schrems la Corte non ha espresso alcun giudizio sul sistema USA.

Non resta dunque che attendere l’adozione della nuova proposta di decisione di adeguatezza della Commissione, nonché la sua (eventuale) successiva impugnazione in via diretta o indiretta davanti alla Corte di giustizia.

 


facebooktwittergoogle_plusmailfacebooktwittergoogle_plusmail