Il safe harbor e’ giunto alla fine?

Se le conclusioni dell’Avvocato Generale Bot saranno accolte l’accordo tra Stati Uniti e Commissione Europea in base al quale è possibile trasferire dati personali dall’Europa agli USA , il c.d. Safe Harbor, avrà i giorni contati. Nelle proprie conclusioni nel caso C – 362/14 che vede di fronte un cittadino austriaco, Maximilian Schrems ed il Garante Irlandese, ha infatti chiesto che la decisione 2000/520/CE del 26 Luglio 2000 sia annullata. (http://curia.europa.eu/juris/document/document.jsf?text&docid=168421&pageIndex=0&doclang=EN&mode=lst&dir&occ=first&part=1&cid=364181) Il caso nasce da un reclamo presentato da un cittadino austriaco, Maximilian Schrems, davanti al Garante Irlandese. Schrems, un utente Facebook dal 2008, dopo aver letto le rivelazioni di Snowden secondo cui la NSA avrebbe avuto accesso indiscriminato ai dati degli utenti di grandi aziende (tra cui Facebook) ha presentato un reclamo al Garante Irlandese, competente in quanto Facebook ha nominato come proprio rappresentante in Europa la propria subsidiary irlandese. Il reclamo chiedeva che fosse fermato il trasferimento dei dati degli utenti Facebook dall’Europa agli USA poiché il caso Snowden dimostrava la assoluta mancanza di rispetto delle regole della privacy negli Stati Uniti. Il Garante irlandese aveva respinto il reclamo in quanto il trasferimento era avvenuto in base al Safe Harbor ed era quindi, a parere del Garante, assolutamente legittimo. Contro questa decisione Schrems ha fatto ricorso alla High Court che ha rinviato la vicenda alla Corte di Giustizia chiedendo una pronuncia preliminare su due quesiti: il primo, se le Autorità Garanti nazionali hanno i poteri per rivedere e contestare una decisione della Commissione sull’adeguatezza della tutela della privacy in un paese terzo, la seconda circa la validità della decisione 2000/520/CE del 26 Luglio 2000, con cui veniva ratificato l’accordo di Safe Harbor. L’avvocato generale ha rilevato che la Direttiva 95/46/CE richiede che i Garanti siano del tutto indipendenti ed autonomi nella propria attività; pertanto, impedire che uno di essi possa rivedere (alla luce di fatti nuovi, come il caso Snowden) una decisione della Commissione in materia di tutela adeguata da parte di un paese terzo costituirebbe una inaccettabile limitazione di tale autonomia. Inoltre, sempre secondo le conclusioni dell’Avvocato Generale, la Direttiva non assegna alla Commissione poteri esclusivi su questa materia, per cui un Garante nazionale può legittimamente valutare e decidere se, in un paese terzo, esistano effettivamente adeguate norme sulla tutela della privacy, anche in presenza (ed in contrasto) con una decisione della Commissione sulla stessa materia. Sul secondo quesito, cioè sulla validità del Safe Harbor, l’Avvocato Generale ha ricordato che l’accordo tra Europa ed USA prevede la possibilità di una deroga, in quanto una clausola dell’accordo prevede che il rispetto dei principi del Safe Harbor possa essere limitato “per motivi di sicurezza nazionale”. Tale deroga, però, è troppo vasta e generica. Le attività denunciate da Snowden, le cui rivelazioni non sono mai state contestate, sono avvenute proprio in base a tale deroga. Quello che è avvenuto, secondo l?avvocato Generale, è stata una illegittima ed indiscriminata raccolta di dati personali di cittadini europei, che sono stati quindi sottoposti ad un controllo totalmente sproporzionato, in quanto non vi era alcuna prova che alcuno dei soggetti i cui dati erano stati acquisiti ponesse effettivamente in pericolo la sicurezza nazionale degli Stati Uniti. Rispetto ad un tale controllo di massa, ha notato l’Avvocato Generale, il Safe Harbor non prevede nessuno strumento a tutela dei cittadini europei. La conclusione raggiunta dall’A.G è stata quindi che la decisione2000/520/CE del 26 Luglio 2000 non è valida. Quelle che vi abbiamo riassunto in queste poche righe sono le conclusioni dell’Avvocato Generale e non la decisione della Corte, che quindi vanno prese per quello che sono. Si tratta, come è evidente, di una materia troppo delicata per fare previsioni, per cui è sicuramente meglio aspettare la decisione della Corte. Non ci rimane che fare alcune osservazioni conclusive. Primo: come detto, si tratta delle conclusioni di una parte, l’Avvocato Generale, e non è detto che saranno accolte dalla Corte (è già successo altre volte, vedi ad esempio il caso Google Spain vs AEPD/Costeja Gonzales). Secondo: la Corte ha sempre esercitato i suoi poteri con la massima autonomia (vedi ad esempio la sentenza C-293/12, con la quale la Corte ha dichiarato invalida la Direttiva 2006/24/CE in materia di servizi di comunicazione elettronica), quindi la Corte non si farà certo influenzare da pressioni esterne, facilmente ipotizzabili in un caso come questo. Certo è che una decisione che sancisca la invalidità dei Safe Harbor avrà conseguenze imprevedibili. Ragion per cui, per pura precauzione, coloro che utilizzano i Safe Harbor come metodo per il trasferimento dei dati in USA farebbero bene a prepararsi dei metodi alternativi per il trasferimento dei dati (la legge li consente), per evitare di trovarsi ad affrontare una situazione di emergenza.

Comments are closed.