Solo la Corte è competente a dichiarare invalido un atto dell’Unione, ma le autorità
nazionali di controllo, investite di una domanda, possono, anche se esiste una decisione
della Commissione che dichiara che un paese terzo offre un adeguato livello di protezione
dei dati personali, esaminare se il trasferimento dei dati di una persona verso quel
paese rispetta i requisiti della normativa dell’Unione sulla protezione di tali
dati, nonché adire i giudici nazionali, allo stesso titolo della persona interessata,
affinché procedano ad un rinvio pregiudiziale per l’esame della validità della
decisione.La direttiva sul trattamento dei dati personali1 dispone che il trasferimento
di tali dati verso un paese terzo può avere luogo, in linea di principio, solo se
il paese terzo di cui trattasi garantisce per questi dati un adeguato livello di
protezione. Sempre secondo la direttiva, la Commissione può constatare che un paese
terzo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali,
garantisce un livello di protezione adeguato. Infine, la direttiva prevede che ogni
Stato membro designi una o più autorità pubbliche incaricate di sorvegliare l’applicazione
nel suo territorio delle disposizioni di attuazione della direttiva adottate dagli
Stati membri («autorità nazionali di controllo»).Il sig. Maximilian Schrems, un
cittadino austriaco, utilizza Facebook dal 2008. Come accade per gli altri iscritti
che risiedono nell’Unione, i dati forniti dal sig. Schrems a Facebook sono trasferiti,
in tutto o in parte, a partire dalla filiale irlandese di Facebook, su server situati
nel territorio degli Stati Uniti, dove sono oggetto di trattamento. Il sig. Schrems
ha presentato una denuncia presso l’autorità irlandese di controllo ritenendo
che, alla luce delle rivelazioni fatte nel 2013 dal sig. Edward Snowden in merito
alle attività dei servizi di intelligence negli Stati Uniti (in particolare della
National Security Agency, o «NSA»), il diritto e le prassi statunitensi non offrano
una tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati
trasferiti verso tale paese. L’autorità irlandese ha respinto la denuncia, segnatamente
con la motivazione che, in una decisione del 26 luglio 20002, la Commissione ha ritenuto
che, nel contesto del cosiddetto regime di «approdo sicuro»3, gli Stati Uniti garantiscano
un livello adeguato di protezione dei dati personali trasferiti.La High Court of
Ireland (Alta Corte di giustizia irlandese), investita della causa, vuole sapere
se questa decisione della Commissione produca l’effetto di impedire ad un’autorità
nazionale di controllo di indagare su una denuncia con cui si lamenta che un paese
terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere
il trasferimento di dati contestato. Nella sua odierna sentenza, la Corte reputa
che l’esistenza di una decisione della Commissione che dichiara che un paese terzo
garantisce un livello di protezione adeguato dei dati personali trasferiti non può
sopprimere e neppure ridurre i poteri di cui dispongono le autorità nazionali di
controllo in forza della Carta dei diritti fondamentali dell’Unione europea e della
direttiva. La Corte sottolinea, a questo proposito, il diritto alla protezione dei
dati personali garantito dalla Carta e la missione di cui sono investite le autorità
nazionali di controllo in forza della Carta medesima.La Corte considera anzitutto
che nessuna disposizione della direttiva osta a che le autorità nazionali controllino
i trasferimenti di dati personali verso paesi terzi oggetto di una decisione della
Commissione. Anche quando esiste una decisione della Commissione, quindi, le autorità
nazionali di controllo, investite di una domanda, devono poter esaminare in piena
indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti
i requisiti stabiliti dalla direttiva. Tuttavia, la Corte ricorda che solo essa è
competente a dichiarare invalida una decisione della Commissione, così come qualsiasi
atto dell’Unione. Pertanto, qualora un’autorità nazionale o una persona ritenga
che una decisione della Commissione sia invalida, tale autorità o persona deve potersi
rivolgere ai giudici nazionali affinché, nel caso in cui anche questi nutrano dubbi
sulla validità della decisione della Commissione, essi possano rinviare la causa
dinanzi alla Corte di giustizia. Pertanto, in ultima analisi è alla Corte che spetta
il compito di decidere se una decisione della Commissione è valida o no.La Corte
passa quindi a verificare la validità della decisione della Commissione del 26 luglio
2000. A questo proposito, la Corte ricorda che la Commissione era tenuta a constatare
che gli Stati Uniti garantiscono effettivamente, in considerazione della loro legislazione
nazionale o dei loro impegni internazionali, un livello di protezione dei diritti
fondamentali sostanzialmente equivalente a quello garantito nell’Unione a norma
della direttiva, interpretata alla luce della Carta. La Corte osserva che la Commissione
non ha proceduto a una constatazione del genere, ma si è limitata a esaminare il
regime dell’approdo sicuro.Orbene, senza che alla Corte occorra verificare se questo
sistema garantisce un livello di protezione sostanzialmente equivalente a quello
assicurato nell’Unione, la Corte rileva che esso è esclusivamente applicabile
alle imprese americane che lo sottoscrivono e che, invece, le autorità pubbliche
degli Stati Uniti non vi sono assoggettate. Inoltre, le esigenze afferenti alla sicurezza
nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi prevalgono
sul regime dell’approdo sicuro, cosicché le imprese americane sono tenute a disapplicare,
senza limiti, le norme di tutela previste da tale regime laddove queste ultime entrino
in conflitto con tali esigenze. Il regime americano dell’approdo sicuro rende così
possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali
delle persone, e la decisione della Commissione non menziona l’esistenza, negli
Stati Uniti, di norme intese a limitare queste eventuali ingerenze, né l’esistenza
di una tutela giuridica efficace contro tali ingerenze.La Corte considera che questa
ricostruzione è avvalorata da due comunicazioni della Commissione4, dalle quali
si evince, segnatamente, che le autorità degli Stati Uniti potevano accedere ai
dati personali trasferiti dagli Stati membri verso tale paese e trattarli in modo
incompatibile, in particolare, con le finalità del loro trasferimento, anche effettuando
un trattamento in eccesso rispetto a ciò che era strettamente necessario e proporzionato
alla tutela della sicurezza nazionale. Analogamente, la Commissione ha dichiarato
che le persone interessate non disponevano di rimedi amministrativi o giurisdizionali
intesi, in particolare, ad accedere ai dati che le riguardano e, se necessario, ad
ottenerne la rettifica o la cancellazione.Per quanto attiene al livello di tutela
sostanzialmente equivalente alle libertà e ai diritti fondamentali garantiti all’interno
dell’Unione, la Corte dichiara che, nel diritto dell’Unione, una normativa non
è limitata allo stretto necessario se autorizza in maniera generalizzata la conservazione
di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione
verso gli Stati Uniti senza che sia operata alcuna differenziazione, limitazione
o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri
oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e
la loro successiva utilizzazione. La Corte soggiunge che una normativa che consenta
alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni
elettroniche deve essere considerata lesiva del contenuto essenziale del diritto
fondamentale al rispetto della vita privata.Parimenti, la Corte osserva che una normativa
che non preveda alcuna facoltà per il singolo di esperire rimedi giuridici diretti
ad accedere ai dati personali che lo riguardano o ad ottenerne la rettifica o la
cancellazione viola il contenuto essenziale del diritto fondamentale ad una tutela
giurisdizionale effettiva, facoltà, questa, che è connaturata all’esistenza di
uno Stato di diritto.Infine, la Corte dichiara che la decisione della Commissione
del 26 luglio 2000 priva le autorità nazionali di controllo dei loro poteri nel
caso in cui una persona contesti la compatibilità della decisione con la tutela
della vita privata e delle libertà e diritti fondamentali delle persone. La Corte
afferma che la Commissione non aveva la competenza di limitare in tal modo i poteri
delle autorità nazionali di controllo.Per questo complesso di motivi, la Corte dichiara
invalida la decisione della Commissione del 26 luglio 2000. Tale sentenza comporta
commenta Giovanni D’Agata, presidente dello “Sportello dei Diritti [1] ,la conseguenza
che l’autorità irlandese di controllo è tenuta a esaminare la denuncia del sig.
Schrems con tutta la diligenza necessaria e che a essa spetta, al termine della sua
indagine, decidere se, in forza della direttiva, occorre sospendere il trasferimento
dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese
non offre un livello di protezione dei dati personali adeguato.