Le nuove Linee-guida dell’Edpb e la fine del “Privacy Shield”: la reazione della Corte di Giustizia alle ingerenze Usa produce gravi incertezze

Le nuove Linee-guida dell’Edpb e la fine del “Privacy Shield”: la reazione della Corte di Giustizia alle ingerenze Usa produce gravi incertezze
  1. Introduzione: il filo rosso dell’estate 2020

C’è un sottile filo rosso che lega le due nuove Linee guida (n. 7/2020 sui concetti di Titolare e Responsabile di trattamento, n. 8/2020 sul targeting dei social media) e la sentenza della Corte di Giustizia UE, del 16 luglio 2020, riguardo ai trasferimenti (massicci ed illegittimi) di dati personali verso gli Stati al di fuori dell’Unione. Si tratta della rivendicazione del ruolo dell’utente-interessato, della necessaria proporzionalità nel bilanciamento tra interessi pubblicistici e privatistici, per la difesa dei diritti fondamentali e della democrazia nella “data driven economy”.

  • Le Linee-guida dello Edpb n. 7/2020, “on the concepts of controller and processor in the GDPR

Le Linee-guida n. 7/2020[1] approfondiscono i concetti di Titolare e Responsabile di trattamento, al fine di migliorare la loro accountability (art. 5, § 2, Gdpr), la ripartizione delle responsabilità e degli obblighi, nonché favorirne la compliance. Si tratta di due concetti funzionali, da attribuire cioè non solo formalmente (art. 4, n. 7, Gdpr), ma soprattutto fattualmente[2]. Il Titolare, in sostanza, è la parte che determina in modo decisivo le finalità e i mezzi di trattamento, ossia gli elementi essenziali dello stesso. Viceversa, il Responsabile (art. 4, n. 8, Gdpr) è la parte che, per conto del Titolare, si occupa dei profili non essenziali (tra cui rientra, all’interno del novero delle misure di sicurezza ex art. 32 Gdpr, anche la cybersecurity)[3]. Il rapporto tra i due soggetti deve essere inderogabilmente contrattuale, concluso con forma scritta ad substantiam (anche in formato elettronico), vincolante per entrambe le parti[4].

Ma la vera attenzione delle Linee Guida n. 7/2020 è rivolta verso i Joint Controllers, ossia i Contitolari di trattamento[5]. Qualora due o più soggetti siano coinvolti nel trattamento ed insieme concorrano alla definizione delle finalità e dei mezzi del medesimo, ciascuno di questi assume la qualifica di Contitolare, ai sensi dell’art. 26 Gdpr. Tale rapporto (cd. Contitolarità)può sorgere in virtù di un atto giuridico (p.e. una comune decisione dei soggetti coinvolti), oppure da una situazione fattuale (nel momento in cui il trattamento non possa essere svolto da un soggetto senza l’intervento dell’altro, laddove la finalità e i mezzi di trattamento siano congiunti, ossia si tratti di converging decisions)[6]. L’esistenza di un mero beneficio dall’opera dell’altro soggetto (Titolare) non è da sola sufficiente a far sorgere una Joint Controllership[7].

Due esempi possono chiarire quanto appena detto.

Immaginiamo un’agenzia di viaggio, che, nel programmare un particolare soggiorno di una coppia, entra in contatto con l’hotel di destinazione e la compagnia aerea (che si occuperà del volo). I tre soggetti decidono di partecipare insieme alla creazione di una piattaforma digitale comune, all’interno della quale la coppia e i futuri viaggiatori potranno trovare tutto quanto necessario per una vacanza. I tre concordano sui mezzi (essenziali) di trattamento, come i dati da registrare, come fare la prenotazione e confermarla e quali sono i soggetti autorizzati a “vedere” quei dati personali. Inoltre, i tre decidono insieme di utilizzare i medesimi per finalità di marketing. In questa situazione si verificano due conseguenze: i tre soggetti saranno Contitolari di trattamento, per l’esecuzione di prenotazioni online e finalità di marketing comuni; viceversa, saranno Titolari autonomi per i trattamenti fatti al di fuori di tali circostanze.

Oltretutto, far parte di un medesimo trattamento non significa automaticamente diventare Joint Controllers. Immaginiamo infatti uno scambio di informazioni tributarie fatto da una Società Alfa all’Agenzia Fiscale Beta, costituito dai dati personali degli impiegati della prima, sulla base di un obbligo legale. In tal caso, benché entrambi i soggetti sfruttino gli stessi dati, l’assenza di una decisione congiunta riguardante le finalità e/o i mezzi di trattamento determina la loro qualifica come autonomi Titolari del trattamento medesimo[8].

In sostanza, dunque, il soggetto che determina in modo indipendente le finalità di trattamento e/o i mezzi dello stesso assume il ruolo di Titolare (autonomo), eventualmente scindendo la Joint Controllership[9]. Viceversa, il Responsabile è un soggetto diverso dal Titolare, per conto del quale agisce, dovendone quindi rispettare le direttive. Ne è un esempio il rapporto tra un Comune ed un cloud service provider per la gestione del sistema informatico delle scuole municipali: i messaggi, le videoconferenze, i documenti e i calendari, contenenti dati personali (anche sensibili) di bambini ed insegnati, vengono trattati dal service provider come Responsabile di trattamento, per la finalità stabilita dal Titolare (il Comune, come soggetto pubblico, non come persona fisica)[10]. Anche in questo caso, ai fini della certezza del diritto, è necessario un previo accordo scritto tra le due figure (ai sensi dell’art. 28, § 3, GDPR)[11]. Il Responsabile non potrà utilizzare quei dati raccolti per finalità diverse da quelle del sistema informatico della scuola (a pena dell’illegittimità del trattamento), ma dovrà costantemente adeguare le misure di trattamento alle necessità attuali, a prescindere da quanto stabilito e standardizzato nell’accordo col Titolare[12]. Il Responsabile potrà sconfinare le direttive del Titolare soltanto se è obbligato a farlo in virtù di un ultroneo trattamento o trasferimento di dati previsto dalle norme dell’Unione o di uno Stato Membro cui è soggetto[13].

  • Le Linee-guida dell’Edpb n. 8/2020, “on the targeting of social media users

Il filo rosso a questo punto si estende sempre più verso l’esterno, cioè alle situazioni in cui i dati personali raccolti vengano trasferiti a terze parti, aventi sede in uno Stato non membro dell’Unione Europea. È il caso dei social media, degli Over the top, come Google, Facebook, Apple, oggetto delle Linee guida n. 8/2020[14]. Lo stesso Edpb si rende conto di un fenomeno storiografico singolare[15]: l’utente, User, non è più il dominatore del sistema informatico (come accadeva negli anni dello sviluppo dei computer e di internet), ma è diventato il bersaglio di quest’ultimo, un vero e proprio target dei social media. Targeting è proprio questo: l’atto di dirigere o indicare qualcosa ad una persona o ad un gruppo di esse[16]. E quando si riferisce ai social media, trattasi di una particolare attività di “bombardamento”, con immagini, messaggi, video e quant’altro, di un determinato soggetto o di una massa di utenti.

Il procedimento è molto semplice, se prendiamo ad esempio Facebook. Tralasciando il fatto che la Piattaforma può accedere anche ai dati personali di soggetti non iscritti (tramite scambi incrociati di dati e metadati con altre piattaforme)[17], Facebook incamera presso i server statunitensi una quantità inimmaginabile di dati personali provenienti (anche) dall’Unione Europea e dai suoi cittadini. Eventuali terze parti interessate, Targeter,come società di moda o di sport, partiti politici o siti internet, possono richiedere a Facebook l’accesso a tale mole di dati personali, per utilizzarli a finalità di marketing, informazione, o peggio, manipolazione delle emozioni[18]. Si tratta in sostanza della monetizzazione del dato (e dunque della data driven economy)[19]. In situazioni patologiche, si tratta in sostanza di un pericolo grave alla democrazia e ai processi elettorali[20].

  • I differenti meccanismi di targeting

Il targeting può essere fatto per filter-bubbles, col quale le persone sono esposte a un’informazione sempre più concordante e forte, con meno critiche e opinioni differenti, in grado di influenzare in modo decisivo l’orientamento (anche politico) delle medesime. Oppure, il targeting può essere rivolto all’information overload, ossia sovraccaricando la mole di informazioni addosso ad una persona o a un gruppo di esse, di tal che le medesime non siano capaci di distinguere la verità dalla bugia[21]. Si tratta in sostanza di manipolazione degli utenti, che può assumere connotati ammissibili (come il marketing), ma anche inaccettabili (come la disinformazione a scopo elettorale)[22].

Per quanto riguarda i ruoli e le responsabilità, le Linee-guida n. 8/2020 richiamano espressamente tre casi giurisprudenziali della Corte di Giustizia UE: Wirtschaftsakademie (C-210/16), Jehovah’s Witnesses (C-25/17) and Fashion ID (C-40/17). L’elemento che accomuna tutte e tre le sentenze è il concetto di Titolare del trattamento (v. supra). Nella prima si afferma che l’amministratore di una pagina Facebook debba esser qualificato come Contitolare del trattamento, insieme a Facebook stesso, (solo) per i dati personali raccolti e circolanti nella pagina da lui amministrata[23]. La seconda ritiene che la comunità religiosa sia Contitolare del trattamento, insieme ai suoi discepoli, (solo) per i dati personali raccolti per l’attività di preghiera e proselitismo[24]. Nella terza la Corte sostiene che un Web Operator sia Contitolare di trattamento, insieme a Facebook, (solo) per i dati personali che transitano dal suo sito a Facebook per mezzo di un tasto plug-in nella pagina[25]. Sono situazioni che le Linee Guida n. 7/2020 affrontano di petto (v. supra), ma che ci permettono di anticipare la triangolazione delle responsabilità, degli obblighi e delle facoltà dei soggetti coinvolti dai social media e dal targeting verso i loro utenti. I principali meccanismi di targeting dell’individuo utente-interessato sono tre: a) sulla base di dati forniti dal medesimo; b) sulla base di dati osservati; c) sulla base di dati inferenziali (o dedotti). Per ognuno è necessario un esempio chiarificatore.

Il targeting on the basis of provided data costituisce la forma più semplice. Immaginiamo una Società Alfa di moda, produttrice di scarpe, che intenda targettizzare uomini tra i 30 e i 45 anni, dichiaratisi single sul proprio profilo social, per la propria collezione autunno-inverno. Il Targeter contatta il Social media provider (p.e. Facebook), stabilendo i criteri e le modalità di esecuzione del targeting, sulla base dei dati personali che il secondo soggetto possiede e raccoglie. Il Social media provider, accettata la richiesta del Targeter, fornisce i dati personali richiesti, nonché tutte le statistiche necessarie all’adempimento del compito. Come corrispettivo, il Targeter potrà beneficiare di advertisement sulle pagine del social media, precipuamente indirizzati verso i soggetti “prescelti”, oltre ad una maggiore consapevolezza dei gusti e delle tendenze di quel dato settore di mercato (da impiegare in investimenti futuri). È facile desumere, come fa lo stesso Edpb, che i due soggetti, Targeter e Social media provider, siano Contitolari di trattamento solo ed esclusivamente per il segmento relativo ai dati raccolti per le finalità e con i mezzi stabiliti congiuntamente; non anche per tutti i trattamenti precedenti e/o successivi a quel segmento[26]. Ciononostante, entrambe le parti dovranno dimostrare la base giuridica del trattamento perché questo possa essere legittimo: lo Edpb ritiene improbabile la sussistenza di un legittimo interesse da parte dei due Contitolari, potendo quindi residuare soltanto il consenso libero, esplicito ed informato del soggetto interessato (ai sensi dell’art. 6, § 1, Gdpr)[27].

Può anche succedere che l’interessato fornisca direttamente al Targeter i propri dati personali. Per esempio, Tizio si reca in banca e decide di aprire un conto corrente; quando diventa correntista, fornisce il suo indirizzo di posta elettronica e la banca lo informa preventivamente che: a) la sua e-mail verrà utilizzata per scopi promozionali di offerte finanziarie connesse ai prodotti/servizi che ha già attivato; b) può opporsi a tale tipo di trattamento in ogni momento e quindi revocare il consenso a far parte della mailing-list. La banca, qualche tempo dopo, utilizza l’indirizzo di posta elettronica di Tizio per targettizzarlo direttamente sulle pagine del Social Network che utilizza più spesso. In questo caso, come ricorda lo Edpb, la banca è il solo ed esclusivo Titolare del trattamento per la raccolta dei dati personali (al momento dell’iscrizione e apertura del conto corrente), poiché il medesimo avviene in un momento antecedente all’attività di targeting; ma sarà Contitolare del trattamento, insieme al Social Network, proprio per l’attività di targeting[28]. Anche in questo caso, la base giuridica di trattamento è il consenso dell’interessato, ma solo ed esclusivamente per la finalità di targeting; eventuali trattamenti ultronei (p.e. pubblicità per prodotti diversi e per altri scopi) saranno illegittimi (salvo specifici consensi ulteriori).

Il targeting on the basis of observed data è alla base dello strano fenomeno per cui, quando cerchiamo su Google un determinato prodotto che ci piacerebbe comprare, subito dopo, nelle pagine successive o nei social media, veniamo “bombardati” con annunci pubblicitari riguardanti quel prodotto. È possibile realizzarlo in due modi: attraverso i dati e le informazioni circolanti sul social media, oppure con i collegamenti esterni ad altri siti, mediante plug-in o pixels. L’idea di fondo è che ogni nostra ricerca fatta su internet lascia una traccia, o meglio, dei cookies: il Targeter sfrutta quella traccia per propri scopi e benefici. E proprio perché si tratta di cookies, viene in risalto la Direttiva e-privacy, che all’art. 5, § 3, impone obblighi di trasparenza molto pregnanti nei confronti degli utenti, che intersecano i limiti rigorosi dell’art. 7 Gdpr (per esempio, è stato ritenuto invalido il consenso ai cookies dato attraverso un check-box già riempito dal Service provider, che l’utente deve deselezionare per manifestare il proprio rifiuto)[29]. In sostanza, sia il Targeter che il social media devono raccogliere preliminarmente il consenso libero, esplicito ed informato dell’utente per poter procedere all’esecuzione della finalità di trattamento, che deve ritenersi fornito solo ed esclusivamente per questa e non per altre, nei termini stabiliti ab origine[30].

Infine, il targeting on the basis of inferred data è il più infimo e subdolo. Si tratta di dati creati dal Titolare del trattamento, sulla base dei dati forniti ex ante dal soggetto interessato; per questo possono essere denominati dati inferenziali (o dedotti). Lo Edpb fornisce un esempio molto interessante[31]. Tizio è un appassionato di sport, a tal punto che cerca spasmodicamente su Google i risultati sportivi delle squadre che segue, le partite in programma e le statistiche relative, con l’abitudine ormai consolidata a fare scommesse, anche pesanti e rischiose. La società Beta è una piattaforma di scommesse online, che intende fare targeting verso utenti come Tizio; per questo motivo si rivolge a Google per ottenere una lista di utenti simili a Tizio, per incrementare il proprio volume di scommesse, e quindi di affari, con soggetti potenzialmente deboli, inclini al rischio. Siamo in presenza di Contitolarità per l’attività di targeting, ma non anche per tutte le altre precedenti e successive a questa. Ma siamo soprattutto in presenza di una vera e propria profilazione, che trova la sua disciplina nell’art. 22 Gdpr, espressamente richiamato dallo Edpb[32]. Perché tale trattamento possa essere legittimo sarà necessario, in alternativa all’esplicito consenso dell’interessato, o l’adempimento di un obbligo contrattuale, oppure l’autorizzazione da parte di una norma dell’Unione o di uno Stato Membro. Queste eccezioni stringenti al trattamento automatizzato risiedono nella pericolosità intrinseca di questo, negli effetti potenzialmente lesivi dell’utente e delle sue libertà fondamentali. Tant’è che, seppur in presenza di una delle tre eccezioni suddette (ammesse dall’art. 22, § 2, Gdpr), il trattamento mediante profilazione dovrà sempre rispettare i principi di liceità, trasparenza, proporzionalità e correttezza (di cui all’art. 5 Gdpr)[33].

A tal proposito, lo Edpb richiama l’attenzione su alcuni istituti fondamentali, necessariamente da applicarsi al caso di specie: la trasparenza del trattamento e i poteri di accesso dell’interessato ex artt. 12, 13 e 14 Gdpr[34]; la valutazione dei rischi e l’obbligatorietà di una Valutazione d’impatto (ex art. 35 Gdpr); le particolari tutele e garanzie previste per il trattamento dei dati sensibili (ex art. 9 Gdpr). L’Edpb rinvia anche ai concetti di Titolare, Responsabile e Contitolare di trattamento dei dati personali, che vengono approfonditi dalle Linee guida n. 7/2020, proprio perché nel targeting,attraverso i social media, il gioco ad incastri dei ruoli e delle responsabilità appare più rischioso per i diritti e le libertà fondamentali dei cittadini (europei). La vicenda delle due sentenze Schrems ne è un esempio, a tal punto da rivelare ancora l’estensione del filo rosso conduttore tra le novità europee dell’estate 2020 sulla protezione dei dati personali.

  • La Sentenza Schrems II e la fine del “Privacy Shield

L’influenza della circolazione dei dati e delle informazioni digitali sull’economia, una data driven economy, comporta una sempre maggiori conseguenze sul piano geopolitico[35]. È il caso della vicenda di Maximilian Schrems e delle due omonime sentenze della Corte di Giustizia, che tra poco affronteremo. Una vicenda che può ben esser collegata alle due Linee Guida sopra viste per le implicazioni della monetizzazione dei dati personali, nonché per la tenuta dei diritti fondamentali e della democrazia (v. art. 23, § 1, Gdpr).

  • Il fatto

Il Sig. Maximilian Schrems, cittadino austriaco residente in Austria, è iscritto a Facebook dal 2008. Al pari di quanto avviene per gli altri utenti residenti dell’Unione, i dati personali del sig. Schrems vengono trasferiti, in tutto o in parte, da Facebook Ireland verso server appartenenti a Facebook Inc., situati nel territorio degli Stati Uniti, dove sono oggetto di trattamento. Il sig. Schrems nel 2010 presentò all’Autorità Garante irlandese per la privacy una denuncia, diretta, in sostanza, a far vietare tali trasferimenti, sostenendo che il diritto e le prassi degli Stati Uniti non assicurassero una protezione sufficiente contro l’accesso, da parte delle autorità pubbliche, ai dati trasferiti verso tale Paese. Tale denuncia è stata respinta, in particolare, sulla base del rilievo che nella sua decisione 2000/520 (cosiddetta decisione Safe Harbour, l’antesignano del Privacy Shield), la Commissione aveva constatato che gli Stati Uniti garantiscono un livello adeguato di protezione. Con sentenza pronunciata il 6 ottobre 2015 la Corte di Giustizia UE, investita di una questione pregiudiziale sottopostale dalla High Court (l’Alta Corte irlandese), ha dichiarato invalida tale decisione (con quella che è passata alla storia col nome di “Sentenza Schrems I”, che ha demolito il Safe Harbour).

Chiamatasi a pronunciarsi sulla denuncia riformulata del Sig. Schrems, il Garante irlandese ha avviato un procedimento dinanzi all’High Court, affinché quest’ultima presentasse alla Corte di Giustizia UE una domanda di pronuncia pregiudiziale sulla decisione della Commissione Europea, n. 2016/1250, incorporante il Privacy Shield. Il giudice a quo, in sintesi, interroga la Corte: a) sull’applicabilità del GDPR a trasferimenti di dati personali fondati su clausole tipo di protezione (di seguito, “CPT”) contenute nella decisione della Commissione UE, n. 2010/87 (cfr. art. 46 GDPR); b) sul livello di protezione richiesto da tale Regolamento nel quadro di un trasferimento siffatto e sugli obblighi che incombono alle autorità di controllo in tale contesto (cfr. art. 45 GDPR); c) sull’adeguatezza delle tutele e garanzie di detto trasferimento in virtù della decisione della Commissione UE, n. 2016/1250 (denominata Privacy Shield, sorto dalle ceneri dell’invalidato Safe Harbour).

  • La normativa di riferimento e il “Privacy Shield

Qualora i dati personali di cittadini europei vengano trasferiti in paesi extra-UE si rientra nel campo di applicazione del Gdpr (ex artt. 2 e 3, § 2), che impone il rispetto di alcune norme di estrema importanza sul caso di specie (artt. 44 e ss.). In particolare, il trasferimento può essere legittimato da tre condizioni alternative: a) in virtù dell’autorizzazione della Commissione Europea (art. 45, § 3, Gdpr), a seguito di una decisione sulla adeguatezza del sistema di tutele e garanzie offerte dallo Stato terzo; b) in mancanza di questa, ai sensi dell’art. 46 Gdpr, l’impiego delle Cpt, oppure di norme vincolanti d’impresa(ex art. 47 Gdpr), infine l’adesione a codici di condotta o il possesso di certificazioni (ex artt. 41 e 42 Gdpr); c) in via del tutto residuale, ai sensi dell’art. 49 Gdpr, in ragione del consenso (esplicito, libero, informato e trasparente) del soggetto interessato al trasferimento (necessariamente occasionale, e non sistematico, come nel caso dei social media).

Per ovviare a questo ginepraio di norme, il 2 febbraio 2016, la Commissione Europea ed il Governo statunitense (in particolare, il Dipartimento del Commercio, di concerto con la Federal Trade Commission), a seguito della sentenza Schrems I (del 5 ottobre 2016), raggiunsero un accordo (politico-economico) per sostituire il Safe Harbour. Il risultato fu il Privacy Shield, un common framework di regole e principi che permettesse il massiccio e costante flusso di dati informatici tra gli Usa e l’Ue, col proposito di rispettare le garanzie imposte dal Gdpr[36].

Essenzialmente, il Privacy Shield si basa su un sistema di autocertificazione del rispetto delle garanzie e dei limiti imposti dal Gdpr, rilasciata dalle società Titolari e/o Responsabili di trattamento, che importino od esportino dati personali tra gli Usa e l’Ue. Un meccanismo di semplificazione che coinvolge over the top come Google, Apple e Amazon, ma anche la piccola start-up o impresa europea che commerci stabilmente col mercato americano. L’autocertificazione viene rilasciata sia dall’esportatore che dall’importatore di dati personali prima del trasferimento dei medesimi, assicurando il rispetto degli obblighi di protezione, delle misure di sicurezza, dei rimedi effettivi e dei diritti dei soggetti interessati (previsti nel Gdpr). L’alternativa a tale meccanismo sono le clausole tipo di protezione (cd. CPT), ossia regolamentazioni contrattuali (soggette al consenso preventivo del soggetto interessato, al momento della conclusione dell’accordo), che ricalcano le garanzie e le tutele del Gdpr (v. art. 46 del Regolamento). In sostanza, il Legislatore europeo ammette tre fonti alternative delle garanzie nel trasferimento: l’autorizzazione della Commissione Europea; il contratto tra importatore/esportatore dei dati e l’interessato; uno strumento di soft law, come l’adesione a un codice di condotta, il possesso di una certificazione o la soggezione a norme vincolanti d’impresa. Il consenso del soggetto interessato è necessario solo laddove la fonte di per sé non sia da sola sufficiente a costituire un’adeguata base giuridica di trattamento (cfr. art. 6 e 49 Gdpr).

Come vedremo, le autocertificazioni del Privacy Shield, che interessano circa cinquemila imprese, si sono rivelate uno strumento farlocco, poiché pienamente recessive nei confronti del potere pubblico americano (e dei suoi programmi di sorveglianza di massa). Viceversa, l’impiego delle CPT, pur tramutando la tutela dei dati personali in diritto disponibile, ancorché fondamentale, appare una scelta meno “volatile”, ma non esente da rischi (come vedremo)[37].

  • Le questioni pregiudiziali

L’Alta Corte irlandese, su richiesta del Garante privacy nazionale, sottopone alla Corte di Giustizia due questioni pregiudiziali, in estrema sintesi riconducibili alle due decisioni (di adeguatezza) della Commissione Europea: a) se le CPT costituiscano un adeguato meccanismo di tutela dei soggetti interessati, ai sensi dell’art. 46 Gdpr (decisione n. 2010/87); b) se il Privacy Shield, come autorizzato dalla Commissione, fornisca sufficienti garanzie ai sensi del Gdpr (decisione n. 2016/1250).

La pregiudizialità nasce dal fatto che negli Usa esistono poderose deroghe ai diritti degli interessati, per ragioni di pubblica sicurezza e difesa dello Stato, consentite da tre strumenti giuridici[38]: l’Executive Order n. 12333 (EO 12333); la Presidential Policy Directive n. 28 (PPD 28); la section 702 del Foreign Intelligence Surveillance Act (FISA). Questi consentono l’utilizzo e l’analisi dei dati personali, anche di cittadini europei, per finalità di monitoraggio, contrasto e repressione di reati (specie di terrorismo), mediante “Programmi di sorveglianza” generalizzati (e non individuali)[39]. In sostanza, le autorità statunitensi possono utilizzare i dati personali recepiti o scambiati in virtù del Privacy Shield o delle CPT, al di fuori dei limiti in questi atti contenuti, qualora siano necessari per l’esecuzione di dette finalità. È proprio su tale impiego, e sulla sua proporzionalità, che la Corte è chiamata a pronunciarsi.

  • La decisione sulle Cpt

La Corte afferma innanzitutto l’applicabilità del Gdpr al trasferimento Usa-Ue, a fini commerciali, da un operatore economico di uno Stato membro verso un altro stabilito in un Paese terzo, anche se durante o dopo il medesimo i dati personali scambiati possano essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e sicurezza dello Stato, ad opera delle autorità del Paese terzo considerato[40].

Per quanto riguarda il livello di protezione richiesto nell’ambito di un trasferimento siffatto, la Corte dichiara che i requisiti previsti a tal fine dalle disposizioni del regolamento, attinenti a garanzie adeguate, diritti opponibili e mezzi di ricorso effettivi, devono essere interpretati nel senso che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati (cd. Cpt) devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento, letto alla luce della Carta[41]. In tale contesto essa precisa che la valutazione del suddetto livello di protezione deve prendere in considerazione tanto ciò che è stipulato contrattualmente tra l’esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, gli elementi pertinenti del sistema giuridico di quest’ultimo[42].

Le Cpt costituiscono un’arma a doppio taglio. Benché tali clausole siano vincolanti per il titolare del trattamento stabilito nell’Unione e per il destinatario del trasferimento di dati personali stabilito in un paese terzo, nel caso in cui abbiano concluso un contratto con riferimento a tali clausole, è pacifico che esse non possono vincolare le autorità di tale paese terzo, poiché queste ultime non sono parti del contratto[43]. Dunque, il trattamento per finalità di pubblica sicurezza (nell’ambito dei programmi di sorveglianza di cui supra) può sempre scavalcare le Cpt, rendendo il diritto alla privacy una situazione giuridica disponibile, ancorché fondamentale (artt. 7 e 8 della Carta di Nizza). La Corte se ne rende conto e impone alla parte contrattuale “forte” (importatore/esportatore di dati) due accorgimenti: provvedere ad un costante aggiornamento delle tutele nei confronti dell’interessato; sospendere o vietare il trasferimento dei dati personali, nel momento in cui si appalesi una insufficiente protezione dei medesimi[44]. A questi rimedi si aggiunge il (costante) controllo delle Autorità Garanti dei Paesi di riferimento, nonché del Garante europeo e della Commissione[45]. Per questi motivi, la Corte di Giustizia ritiene valida la decisione 2010/87, nonché legittime le Cpt[46]. In realtà, le Cpt possono pur sempre essere soverchiate dalle finalità di pubblica sicurezza e dunque cadere lettera morta[47].

  • La decisione sul “Privacy Shield

La Corte di Giustizia decide di invalidare il “Privacy Shield”, la decisione della Commissione, n. 2016/1250, per due ragioni: la sproporzionalità del trattamento finalizzato alla tutela della pubblica sicurezza (coi programmi di sorveglianza di massa) e l’assenza di un rimedio giurisdizionale effettivo avverso le violazioni dei diritti privacy dei soggetti interessati. Il Sig. Schrems aveva ragione: il trasferimento dei suoi dati personali negli Usa non è legittimo, perché ivi non vengono assicurate adeguate tutele (sostanzialmente equivalenti a quelle del Gdpr).

La Corte, per verificare la validità del Privacy Shield, anche rispetto al Gdpr, lo interpreta alla luce delle disposizioni della Carta dei diritti fondamentali dell’Ue (cd. Carta di Nizza),che garantiscono il rispetto della vita privata e familiare, la protezione dei dati personali e diritto ad una tutela giurisdizionale effettiva (v. artt. 7, 8 e 47). A tal proposito la Corte rileva che la suddetta decisione, al pari della decisione 2000/520, sancisce il primato delle esigenze attinenti alla sicurezza nazionale, all’interesse pubblico e al rispetto della normativa statunitense, rendendo così possibili ingerenze nei diritti fondamentali delle persone i cui dati sono trasferiti verso tale Paese terzo[48]. Secondo la Corte, le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, di siffatti dati trasferiti dall’Unione verso tale Paese terzo, e che sono state valutate dalla Commissione nella decisione 2016/1250, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.In breve, il trattamento non è legittimo perché sproporzionato a favore della pubblica sicurezza.

Fondandosi sulle constatazioni che compaiono in tale decisione, la Corte di Giustizia rileva che, per taluni programmi di sorveglianza, da detta regolamentazione non emerge in alcun modo l’esistenza di limiti all’autorizzazione, in essa contenuta, dell’attuazione di tali programmi e neppure l’esistenza di garanzie per gli stranieri che possono esserne potenzialmente oggetto. Un’accusa palese all’operato degli Stati Uniti e (al giudizio di adeguatezza) della Commissione Europea[49]. La violazione del principio di proporzionalità, ammessa solo in virtù di una norma di legge, data l’ingerenza sul diritto fondamentale alla privacy, è palese nell’indeterminata facoltà dell’autorità pubblica statunitense di raccogliere, usufruire, conservare e combinare la mole di dati personali trasferiti (anche dall’UE). Tanto più se il trattamento è automatizzato, come nel caso dei social media[50].

Infine, la Corte muove un’altra accusa agli Stati Uniti, rispetto all’assenza nel caso di specie di diritti degli interessati nei confronti delle autorità statunitensi azionabili dinanzi ai giudici. Detto altrimenti, gli USA non assicurano una tutela giurisdizionale effettiva agli interessati europei. Viene previsto soltanto l’istituto del Mediatore, che, seppur descritto come “indipendente dalla comunità dell’intelligence statunitense”, riferisce direttamente al Segretario di Stato, il quale assicura che svolga la sua funzione con obiettività e senza indebite ingerenze che possano influire sulla risposta apportata[51]. Per di più, il Mediatore è designato dal Segretario di Stato e costituisce parte integrante del Dipartimento di Stato degli Stati Uniti; la revoca del Mediatore o l’annullamento della sua nomina non devono essere accompagnate da garanzie particolari, circostanza che è idonea a mettere in dubbio l’indipendenza del Mediatore rispetto al potere esecutivo[52].

La Corte, in sostanza, accusa gli Stati Uniti di non possedere un requisito fondamentale di uno Stato di diritto, ossia il diritto ad una tutela giurisdizionale effettiva[53]. La conclusione non può che essere la seguente: il Privacy Shield è invalido e ogni trasferimento di dati effettuato sulla sua base è da ritenersi illegittimo, vietato e da sospendere immediatamente. Curiosamente, la Corte, in modo pilatesco, afferma che ciò non produce alcuna lacuna nell’ordinamento, poiché vige l’art. 49 Gdpr[54]: il trasferimento (ora vietato) può essere realizzato sulla base del consenso del soggetto interessato e solo occasionalmente. Come è naturale desumere, non è il caso dei social media e degli over the top, i quali in ogni secondo trattano e trasferiscono quantità di dati personali inimmaginabili (per i più disparati scopi). A ben vedere, la Corte non affronta il problema, lasciandolo alle Autorità Garanti, chiamate di volta in volta ad intervenire per sospendere il trattamento.

  1. Conclusioni: le conseguenze della decisione

La Decisione 16 luglio 2020 ha aperto una voragine nella digital economy. Al momento non esiste un sostituto del Privacy Shield, soprattutto in attesa dell’evento elettorale di novembre, tranne la soluzione fornita dalla Corte di Giustizia (v. supra). In questo contesto si sono inserite le Frequently asked questions dello Edpb, adottate una settimana dopo la sentenza Schrems II (il 23 luglio 2020)[55]. A ben vedere, le Faq dello Edpb non rispondono alla costante necessità di trasferire, importando ed esportando, dati personali tra Ue e Usa: si rifanno ai contenuti della sentenza suddetta, senza aggiungere molto. In sostanza, ci sono due alternative: le Cpt o l’art. 49 Gdpr, con lo spettro costante del trattamento sproporzionato da parte delle autorità statunitensi (per i programmi di sorveglianza), bilanciato dai poteri interdittivi delle Autorità di controllo dei Paesi Ue.

Ecco dove si estende il filo rosso conduttore. Le Linee guida nn. 7 e 8 del 2020 dello Edpb forniscono dei chiarimenti fondamentali per il trattamento dei dati personali dei cittadini europei più massiccio, quello della digital economy, dei social media e degli over the top. Le varie qualifiche di Titolare, Contitolare e Responsabile di trattamento servono a sviluppare al meglio le Cpt, ma anche informare in modo più chiaro e trasparente possibile il soggetto interessato, al momento della prestazione del consenso (ex artt. 6 e 49 Gdpr). Ma resta evidente il vicolo cieco in cui si trovano le Cpt: non assicurano le adeguate tutele, sostanzialmente equivalenti al Gdpr, dei dati personali trasferiti, perché le autorità statunitensi potranno sempre fare leva sulla pubblica sicurezza per rompere l’assetto contrattuale; dunque, i Titolari e Contitolari europei rischiano di non poter utilizzare Responsabili statunitensi, e viceversa[56].

In questa grave situazione di incertezza, lo Edpb tenta disperatamente di aiutare gli operatori economici con due Linee Guida e delle Faq, ma non può impedire i ben centouno ricorsi alle Autorità Garanti dei Paesi Ue, sorti in conseguenza della sentenza Schrems II, per risolvere i quali ha costituito una task force[57]. Probabilmente, durante questo periodo transitorio, il consenso dell’interessato, ex artt. 6 e 49 del Gdpr, appare la soluzione giuridicamente più onesta, ma incapace di eliminare i forti rischi che, alla fine, prevalga la pubblica sicurezza americana. Di converso, un nuovo accordo, sostitutivo dell’invalidato Privacy Shield, è quantomai auspicabile, benché (anche su questo) aleggi il sospetto di attendere l’esito delle elezioni di novembre.


[1] Edpb, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, adottate il 2 settembre 2020, reperibili presso https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_it.

[2] Le Linee-guida n. 7/2020, al § 27, affermano: “(…) If one party in fact decides why and how personal data are processed that party will be a controller even if a contract says that it is a processor. Similarly, it is not because a commercial contract uses the term “subcontractor” that an entity shall be considered a processor from the perspective of data protection law”. Si veda anche la meno recente Opinion n. 10/2006 dello WP29, del 22 novembre 2006, pag. 11.

[3] Linee-guida n. 7/2020, § 38: “(…) “Non-essential means” concern more practical aspects of implementation, such as the choice for a particular type of hard- or software or the detailed security measures which may be left to the processor to decide on”.

[4] Ibidem, §§ 98 e ss.

[5] Ibidem, §§ 43 e ss.

[6] Ibidem, § 53.Si veda a contrario quanto affermano le Linee-guida n. 7/2020, § 66: “(…) the use of a common data processing system or infrastructure will not in all cases lead to qualify the parties involved as joint controllers, in particular where the processing they carry out is separable and could be performed by one party without intervention from the other or where the provider is a processor in the absence of any purpose of its own (the existence of a mere commercial benefit for the parties involved is not sufficient to qualify as a purpose of processing)”.

[7] Ibidem, § 60.

[8] Linee Guida n. 7/2020, §§ 67-68.

[9] Ibidem, § 69.

[10] Ibidem, § 82.

[11] Ibidem, § 171. In particolare, si veda il § 111, ai sensi del quale gli elementi necessari ad substantiam dell’accordo sono: l’oggetto, la durata, la natura e le finalità del trattamento, nonché il tipo e le categorie di dati personali raccolti, infine gli obblighi e i diritti del Titolare.

[12] Ibidem, § 82.

[13] Ibidem, § 118; cfr. art. 28, § 3, lett. a), Gdpr.

[14] EDPB, Guidelines 8/2020 on the targeting of social media users, adottate il 2 settembre 2020, reperibili presso https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-082020-targeting-social-media-users_it.

[15] Ibidem, §§ 3 e 4.

[16] Definizione del Collins Dictionary riportata dalle Linee-guida n. 8/2020, § 2, nota 3, reperibile presso https://www.collinsdictionary.com/dictionary/english/targeting.

[17] È il cosiddetto fenomeno degli “shadow profiles”, v. ibidem, § 18.

[18] Si riporta testualmente il § 11 delle Linee Guida n. 8/2020: “(…) Certain targeting approaches may however go so far as to undermine individual autonomy and freedom, e.g. by delivering individualized messages designed to exploit or even accentuate certain vulnerabilities, personal values or concerns. For example, an analysis of content shared through social media can reveal information about the emotional state (e.g. through an analysis of the use of certain key words). Such information could be used to target the individual with specific messages and at specific moments to which he or she is expected to be more receptive, thereby surreptitiously influencing his or her thought process, emotions and behaviour”.

[19] O. Pollicino, F. Resta, Dati personali, perché la Corte di Giustizia ha annullato il “Privacy Shield”, in Sole24ore, Norme e Tributi, 20 luglio 2020, reperibile presso https://www.ilsole24ore.com/art/dati-personali-perche-corte-giustizia-ha-annullato-privacy-shield-ADvYyKf.

[20] Ibidem, § 12: “(…) While ‘traditional’ offline political campaigning intends to influence voters’ behaviour via messages that are generally available and retrievable (verifiable), the available online targeting mechanisms enable political parties and campaigns to target individual voters with tailored messages, specific to the particular needs, interests and values of the target audience. (…) When polarising or untruthful (disinformation) messages are targeted at specific individuals, with no or limited contextualisation or exposure to other viewpoints, the use of targeting mechanisms can have the effect of undermining the democratic electoral process”.

[21] Ibidem, § 13.

[22] Ibidem, § 11.

[23] Ibidem, § 31.

[24] Linee-guida n. 7/2020, § 54.

[25] Linee-guida n. 8/2020, § 33.

[26] Linee-guida EDPB, n. 8/2020, § 41. Si veda anche la Sentenza Fashion ID, cit., § 74: “[a] natural or legal person cannot be considered to be a controller, within the meaning of that provision, in the context of operations that precede or are subsequent in the overall chain of processing for which that person does not determine either the purposes or the means”.

[27] Ibidem, in particolare §§ 52-53.

[28] Ibidem, in particolare § 58.

[29] CGUE, sentenza Planet 49, C-637/17, § 57.

[30] EDPB, Linee Guida, n. 8/2020, § 72.

[31] Ibidem, § 74, example 8.

[32] Ibidem, §§ 77 e ss.; si rammenti che, ai sensi dell’art. 22, § 1, GDPR, la profilazione è di regola vietata, salvo le eccezioni che seguono al § 2.

[33] Ibidem, § 81.

[34] Ibidem, pagg. 24-27.

[35] O. Pollicino, F. Resta, Dati personali, perché la Corte di Giustizia ha annullato il “Privacy Shield”, in Sole24ore, Norme e Tributi, 20 luglio 2020, reperibile presso https://www.ilsole24ore.com/art/dati-personali-perche-corte-giustizia-ha-annullato-privacy-shield-ADvYyKf.

[36] Per alcuni, C. Bovino, Corte di Giustizia, il Privacy Shield UE-USA non è sicuro, in Quotidiano Giuridico, IPSOA, Walters Kluwer, 3 agosto 2020, il Privacy Shield sarebbe un vero e proprio accordo internazionale. Ciononostante, è bene specificare che l’oggetto della sentenza in commento (Schrems II) è, in realtà, la decisione n. 2016/1250 della Commissione Europea, che dichiara adeguato il sistema di tutele previsto nel documento approvato il 2 febbraio 2016.

[37] Così A. Maggipinto, Privacy Shield invalidato: cause e conseguenze, reperibile presso https://www.maggipinto.eu/privacy-shield-invalidato-cause-e-conseguenze/.

[38] A ben vedere, come afferma la Commissione Europea, nella decisione 2016/1250, § 68, “(…) In virtù della Costituzione degli Stati Uniti, garantire la sicurezza nazionale rientra nei poteri del presidente in qualità di Comandante supremo, di Capo dell’Esecutivo e, per quanto riguarda l’intelligence esterna, di responsabile della conduzione degli affari esteri degli Stati Uniti (…). Sebbene il Congresso abbia il potere d’imporre limitazioni a queste prerogative, e di fatto sia intervenuto in tal senso sotto vari aspetti, il presidente può indirizzare le attività della comunità dell’intelligence statunitense, in particolare mediante decreti o direttive presidenziali”.

[39] La Sentenza della CGUE 16 luglio 2020, C-311/18, § 61, riporta quanto affermato dal Giudice a quo: “(…) Per quanto riguarda l’articolo 702 del FISA, il giudice del rinvio precisa, nella medesima sentenza, che, al fine di procurarsi «informazioni in materia di intelligence esterna», tale articolo consente al procuratore generale e al direttore dell’intelligence nazionale di autorizzare congiuntamente, previa approvazione della Corte Fisa, la sorveglianza di cittadini stranieri che si trovano al di fuori del territorio degli Stati Uniti e serve, in particolare, quale fondamento dei programmi di sorveglianza PRism e Upstream. Nell’ambito del programma Prism, i fornitori di servizi Internet sono tenuti, secondo le constatazioni di tale giudice, a fornire alla Nsa tutte le comunicazioni inviate e ricevute da un «selettore», e parte di esse è trasmessa anche allo FBI e alla Central Intelligence Agency (CIA)”.

[40] Ibidem, §§ 82 e ss.; in particolare, la Corte ritiene applicabile il Gdpr ai trattamenti fatti dalle pubbliche autorità, non anche a quelli intra moenia, tra Facebook Inc. e la sua controllata Facebook Ireland (cfr. § 85).

[41] Per “livello di protezione adeguato” si intende (come confermato dal Considerando n. 104 del Gdpr) che il Paese terzo assicuri effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza di tale regolamento, letto alla luce della Carta. Cfr. sul punto il § 94 della Sentenza in commento.

[42] CGUE, Comunicato stampa n. 91/20, del 16 luglio 2020. Si veda anche il § 100 della sentenza in commento, “(…) Secondo costante giurisprudenza, inoltre, la validità delle disposizioni del diritto dell’Unione e, in mancanza di un espresso richiamo al diritto nazionale degli Stati membri, la loro interpretazione non possono essere valutate alla luce di tale diritto nazionale, neppure di rango costituzionale, in particolare dei diritti fondamentali quali formulati nella loro Costituzione nazionale”. Un’affermazione consolidata nella giurisprudenza di Lussemburgo (Sentenze 17 dicembre 1970, Internationale Handelsgesellschaft, 11/70, EU:C:1970:114, punto 3; del 13 dicembre 1979, Hauer, 44/79, EU:C:1979:290, punto 14, nonché del 18 ottobre 2016, Nikiforidis, C‑135/15, EU:C:2016:774, punto 28 e giurisprudenza ivi citata).

[43] Sentenza CGUE, 16 luglio 2020, C-311/18, § 125.

[44] Ibidem, § 135.

[45] Ibidem, §§ 146-147.

[46] Ibidem, §§ 148-149.

[47] P. Vecchi, L’Europa post Privacy Shield: è l’open source la via per uscire dal colonialismo digitale, in Agenda Digitale, 14 settembre 2020.

[48] Ibidem, § 164.

[49] Ibidem, § 167, dove si riporta l’opinione della Commissione, che ritiene adeguati e proporzionali i limiti alla tutela dei dati personali per finalità di pubblica sicurezza negli USA.

[50] Ibidem, § 176. Si veda anche il § 183, “(…) Occorre aggiungere che la PPD28, che deve essere rispettata nellambito dellapplicazione dei programmi di cui ai due punti precedenti, consente di procedere ad una «raccolta in blocco (…) di un volume relativamente consistente di informazioni o dati nell’ambito dell’intelligence dei segnali in circostanze in cui la comunità dell’intelligence non può rendere mirata la raccolta ricorrendo a un identificatore associato a un obiettivo specifico», come precisato in una lettera del 21 giugno 2016 dell’Ufficio del Direttore dell’intelligence nazionale (Office of the Director of National Intelligence) al Dipartimento del Commercio degli Stati Uniti e all’Amministrazione del commercio internazionale, contenuta nell’Allegato VI della decisione «scudo per la privacy». Orbene, tale possibilità, che consente, nell’ambito dei programmi di sorveglianza basati sull’E.O. 12333, di accedere a dati in transito verso gli Stati Uniti senza che tale accesso sia oggetto di un qualsivoglia controllo giudiziario, non circoscrive, in ogni caso, in modo sufficientemente chiaro e preciso la portata di siffatta raccolta in blocco di dati personali”.

[51] Ibidem, § 195.

[52] Ibidem, § 195.

[53] Ibidem, § 187: “(…) Secondo costante giurisprudenza, l’esistenza stessa di un controllo giurisdizionale effettivo, destinato a garantire il rispetto delle disposizioni del diritto dell’Unione, è intrinseca all’esistenza di uno Stato di

diritto. Pertanto, una normativa che non prevede alcuna possibilità per il singolo di avvalersi di rimedi giuridici al fine di accedere a dati personali che lo riguardano, oppure di ottenere la rettifica o la soppressione di tali dati, non rispetta il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, quale sancito all’articolo 47 della Carta (sentenza del 6 ottobre 2015, Schrems, C‑362/14, EU:C:2015:650, punto 95 e giurisprudenza ivi citata)”.

[54] Ibidem, § 202.

[55] https://edpb.europa.eu/our-work-tools/our-documents/ovrigt/frequently-asked-questions-judgment-court-justice-european-union_it

[56] P. Vecchi, L’Europa post Privacy Shield: è l’open source la via per uscire dal colonialismo digitale, in Agenda Digitale, 14 settembre 2020.

[57] Si veda la circolare del nostro Garante per la protezione dei dati personali, del 7 settembre 2020, Doc. web 9452166, reperibile presso https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9452166.

di Ermanno Salerno


Related Articles

“Nuovo Codice”: la sintesi delle disposizioni introdotte dal Dlgs. n. 50/2016

PARTE I AMBITO DI APPLICAZIONE, PRINCIPI, DISPOSIZIONI COMUNI ED ESCLUSIONI TITOLO I PRINCIPI GENERALI E DISPOSIZIONI COMUNI  Art. 1 Oggetto

“App Immuni”: convertito in Legge il Decreto che disciplina il tracciamento dei contagi

È stata pubblicata sulla G.U. n. 162 del 29 giugno 2020 la Legge 25 giugno 2020, n. 70, di conversione

Non ci sono commenti per questo articolo

Scrivi un commento
No Comments Yet! You can be first to comment this post!

Only registered users can comment.