• Home
  • News
  • ICT Law
  • Trasferimento dati personali extra UE: gli europei possono bloccare il flusso dei dati

Trasferimento dati personali extra UE: gli europei possono bloccare il flusso dei dati

  • Lunedì, 28 Settembre 2015
Trasferimento dati personali extra UE: gli europei possono bloccare il flusso dei dati
di Enrica Maio

di Enrica Maio

Gli Stati europei potrebbero bloccare il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti. È questa la posizione dell'avvocato generale della Corte europea, Yves Bot, pronunciatosi sulla decisione 2000/520/CE della Commissione Europea che ha dichiarato adeguata la protezione assicurata ai dati personali  dei cittadini europei negli USA e dunque ne ha consentito il trasferimento, secondo gli accordi di Safe Harbor.

Le conclusioni dell'avvocato Bot nascono dal giudizio instaurato da un cittadino austriaco, utente di Facebook, che avendo preso atto dell'enorme mole di sui dati personali trasferiti sui server situati nel territorio statunitense  ha deciso di ricorrere, da ultimo, anche alla Corte di Giustizia dell'Unione europea
La denuncia, giunta all'autorità irlandese per la protezione dei dati (dove ha sede la filiale europea del social network californiano), voleva mettere in luce come il diritto e le prassi americane non siano in grado di offrire sufficiente protezione contro il controllo ad opera dello Stato statunitense dei dati trasferiti verso tale Paese, tenuto conto delle rivelazioni in merito alle attività dei servizi di intelligence (Nsa) negli USA a seguito del caso Snowden. L'autorità irlandese, però, aveva respinto il reclamo con la motivazione che la Commissione europea aveva già ritenuto adeguata la protezione dei dati personali offerta dagli Stati Uniti con la Decisione 2000/520/CE. L'interessato, in seguito, aveva pertanto adito l'Alta Corte di Giustizia irlandese, che aveva portato al vaglio della Corte di Giustizia europea la possibilità che una decisione della Commissione potesse produrre l'effetto di impedire ad un'autorità nazionale di controllo di indagare su una denuncia secondo cui un Paese terzo non assicura un livello di protezione adeguato e, conseguentemente, di sospendere il trasferimento di dati contestato.
In proposito, la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio, del 24 ottobre 1995 (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati), dispone che il trasferimento dei dati di cittadini europei verso un paese terzo può avere luogo se il Paese stesso garantisce per questi dati un livello di protezione adeguato. In più, la Commissione, qualora constati l'esistenza di un idoneo livello di protezione, può adottare una decisione in base alla quale si consente il trasferimento dei dati personali verso il paese interessato.

Secondo l'avvocato Bot, l'esistenza di una decisione della Commissione che stabilisce che un Paese terzo garantisce un livello di protezione adeguato per i dati personali trasferiti non può elidere e neppure ridurre i poteri di cui dispongono le singole autorità nazionali di controllo in forza della Direttiva sul trattamento dei dati personali, giungendo a ritenere addirittura la decisione della Commissione invalida.
Come si legge nel comunicato stampa n. 106/15 della Corte di giustizia dell'Unione Europea, "i poteri d'intervento delle autorità nazionali di controllo, tenuto conto dell'importanza del loro ruolo in materia di protezione dei dati, devono rimanere integri. Se le autorità nazionali di controllo fossero vincolate in maniera assoluta dalle decisioni della Commissione, la loro indipendenza totale, di cui godono in forza della direttiva, risulterebbe inevitabilmente limitata".

Detto ciò, quindi, come anche dichiarato dall'avvocato generale, quando un'autorità nazionale di controllo ritenga che un trasferimento di dati possa portare gravi pregiudizi alla protezione dei cittadini europei in merito al trattamento dei loro dati, essa ha il potere di sospendere detto trasferimento, e ciò prescindendo dalla valutazione generale svolta dalla Commissione europea. È opportuno ricordare, pertanto, che la Commissione non dispone della competenza di limitare i poteri delle autorità nazionali di controllo.

Inoltre, se il Paese terzo verso cui i dati personali sono trasferiti presenta carenze sistemiche, gli Stati membri dell'UE devono avere la possibilità di adottare tutte quelle misure necessarie per salvaguardare i diritti tutelati dalla Carta dei diritti fondamentali dell'Unione europea, tra cui figurano il diritto al rispetto della vita privata e della vita familiare e il diritto alla protezione dei dati a carattere personale, come sancito dagli artt. 71  e 82  della Carta.
Negli Stati Uniti, la legge e la consuetudine consentono di raccogliere i dati personali dei cittadini europei che sono trasferiti sui server presenti nel territorio americano, senza che i cittadini del Vecchio Continente possano usufruire di una tutela giurisdizionale effettiva. In più, l'accesso dei servizi di intelligence americani ai dati trasferiti costituirebbe una grave violazione dell'art. 8 della Carta.

Infine, appare opportuno menzionare l'accordo commerciale tra UE e USA, c.d. Safe Harbor Agreement. Tale accordo, stipulato nel 2000, consente il trasferimento dei dati personali dei cittadini europei verso gli Stati Uniti d'America e, di fatto, ha prestato il fianco alla sorveglianza di massa dell'Nsa.
È chiaro che, all'esito di questa vicenda, l'accordo in questione potrebbe essere rivisto per garantire una maggiore tutela ai cittadini europei relativamente ai loro dati personali, e se la decisione della Corte di giustizia europea, prevista per la fine dell'anno, sarà in linea con le considerazioni dell'avvocato Bot, il Safe Harbor Agreement dovrà essere riscritto, così come già nei propositi dalla Commissione europea.

1. Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni. 

 2. Articolo 8 Protezione dei dati di carattere personale:

1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 

2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 

3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente. 



D&L Communication è segreteria organizzativa delle Associazioni:

CONTATTI

D&L Department - Studio Legale Lisi
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65 

segreteria@studiolegalelisi.it 

Digital & Law Department S.r.l.
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65

P.IVA: 04372810756 - info@digitalaw.it - digitalaw@pec.it 

Studio Legale Lisi
Via V. M. Stampacchia, 21 - Piano Terra - 73100 Lecce - Tel /Fax: +39.0832.24.48.02 

info@studiolegalelisi.it 

Segreteria di Milano
Piazza IV Novembre, 4 - 20124 - Milano - Tel 02.671658188 Fax 02.67165266

Domicilio a Roma