Accogliendo la tesi formulata nelle conclusioni dell’Avvocato Generale Bot la Corte ha dichiarato invalida la decisione sul Safe Harbor, allo stesso tempo concludendo che le autorità nazionali hanno il potere/dovere di verificare se in un paese terzo esistano effettivamente condizioni di tutela dei dati personali dei cittadini europei. Sul primo quesito posto dalla High Court Irlandese, che ricordiamo essere se le autorità garanti nazionali abbiano o meno il potere di verificare l’esistenza di adeguate garanzie per la protezione dei dati in un paese terzo, anche in presenza di una decisione della Commissione in merito, la Corte ha stabilito che nessuna disposizione della Direttiva 95/46/CE osta a che le autorità nazionali controllino i trasferimenti di dati personali verso paesi terzi oggetto di una decisione della Commissione. Anche quando esiste una decisione della Commissione, quindi, le autorità nazionali di controllo investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti i requisiti stabiliti dalla direttiva. Resta salvo però il principio che solo la Corte è competente a dichiarare invalida una decisione della Commissione, così come qualsiasi atto dell’Unione. Per quanto riguarda invece il merito dell’accordo di Safe Harbor, la Corte ha osservato che esso è esclusivamente applicabile alle imprese americane che lo sottoscrivono e che, invece, le autorità pubbliche degli Stati Uniti non sono tenute alla sua osservanza. A questo si aggiunge chele esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi, nella sostanza prevalgono sul regime del Safe Harbor, cosicché le imprese americane sono tenute a non applicare, senza limiti, le norme di tutela previste da tale regime laddove queste ultime entrino in conflitto con tali esigenze. Il regime americano del Safe Harbor rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone. La Corte ha sottolineato come una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche debba essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata e che una normativa che non preveda alcuna facoltà per il singolo di esperire rimedi giuridici diretti a tutelare i propri dati personali, ottenendone la rettifica o la cancellazione, violi il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, facoltà, questa, che è connaturata all’esistenza di uno Stato di diritto. Per tutto questo complesso di motivi, la Corte ha dichiarato invalida la decisione della Commissione 2000/520/CE del 26 Luglio 2000. La conseguenza immediata e più clamorosa è che il Garante Irlandese è obbligato ad esaminare il reclamo del sig. Schrems (che il Garante Irlandese stesso aveva invece respinto) con tutta la diligenza necessaria che spetta a tale reclamo. Al termine della sua indagine il Garante dovrà decidere se, in forza della Direttiva, occorrerà sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato. E’ ovvio che questa decisione, di cui al momento è disponibile il solo comunicato stampa (http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117it.pdf) ha un effetto rivoluzionario e potenzialmente devastante nei rapporti Europa – USA e, prima di qualsiasi altra considerazione, occorrerà leggerne con attenzione il testo per meglio comprenderne la portata. La decisione, peraltro, dovrebbe essere disponibile a breve; in ogni caso, per coloro che sono interessati al problema, occorrerà valutare immediatamente se ricorrere ad altre soluzioni per il trasferimento dei dati verso gli USA.
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117it.pdf