back to top

Schrems vs Facebook: Bot, i singoli Stati possono fermare il trasferimento di dati

Yves Bot, Avvocato generale della Corte di Giustizia Europea (CGUE), ieri ha presentato le conclusioni nell’ambito della controversia giudiziale promossa dall’austriaco Max Schrems nei confronti del Data Protection Commissioner irlandese. Secondo Bot, i singoli Stati hanno il potere di sospendere il trasferimento dei dati verso un paese terzo, qualora venga accertato che quest’ultimo non garantisce un adeguato sistema di protezione.

Il 23 settembre 2015 è un giorno positivo per l’austriaco Maximilian Schrems, laureato in giurisprudenza e utente di Facebook dal 2008: le conclusioni depositate dall’Avvocato generale della CGUE Yves Bot sono, almeno parzialmente, a suo favore. Schrems. in nome proprio e di altri 25.000 utenti, ha proposto una maxi “class action” europea contro Facebook – nota come “europe versus facebook.org” – a seguito delle rivelazioni di Edward Snowden, ex consulente della NSA per conto della Booz Allen Hamilton,  secondo le quali la NSA utilizza programmi di intercettazione tra Stati Uniti e UE in merito ai metadati di comunicazioni, oltre a programmi di sorveglianza su Internet, tra cui il dabase PRISM (che consentirebbe alla NSA di avere accesso illimitato ai dati di massa che si trovano sui server degli Stati Uniti). Schrems ritiene, alla luce di tali dichiarazioni, che gli Stati Uniti non assicurino un adeguato livello di protezione dei dati personali.

Una denuncia è stata, inoltre, presentata a Helen Dixon – il Commissario dell’Irish Data Protection – affinchè ordinasse a Facebook Ireland (la sede centrale europea della società di Palo Alto) di non trasmettere i dati degli utenti negli Stati Uniti, ma con esito negativo. Schrems ha deciso, quindi, di rivolgersi all’Alta Corte irlandese che, ritenendo le questioni sollevate di interesse per l’Unione Europea, ha chiesto chiarimenti alla Corte di Giustizia Europea. Il procedimento è rubricato con il n. C – 362/14.

schrems-facebook-bot-class-action

La vicenda e le conclusioni dell’Avvocato generale Yves Bot

Nel mese di luglio di quest’anno, Schrems ha annunciato che la Corte Regionale di Vienna – la “Landesgericht” – ha dichiarato, in prima istanza, inammissibile la class action nei confronti di Facebook per motivi esclusivamente procedurali. L’attivista austriaco ha inserito sul sito internet europe-v-facebook.org la frase ironica “Viennese Court does not want “hot potato”?!” e ha comunicato la decisione di proporre appello davanti alla Higher Regional Court (“Oberlandesgericht”).

In merito, invece, al giudizio proposto dinanzi alla Corte di Giustizia Europea, il 21 settembre si è tenuta l’ultima udienza e ieri sono state depositate le conclusioni dell’Avvocato generale Yves Bot.

Nella parte introduttiva del documento si legge che, come stabilito dalla Commissione Europea nella Comunicazione del 27.11.2013, il trasferimento dei dati personali è “un importante e necessario elemento delle relazioni transatlantiche. Essi formano parte integrante degli scambi commerciali tra le due sponde anche per le nuove imprese digitali in crescita, come i social media o il cloud computing, con grandi quantità di dati che vanno dall’Unione Europea agli Stati Uniti”.

Vengono citati l’art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea, il quale stabilisce che “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”, e l’art. 8, secondo cui “Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”. Nel caso specifico, la questione principale è se può essere vincolante per l’autorità nazionale per la protezione dei dati la valutazione della Commissione “in merito all’adeguatezza del livello di protezione, contenuta nella decisione 2000/520”.

In proposito, l’Avvocato generale della CGUE precisa che, pur non avendo Schrems addotto argomentazioni specifiche a sostegno del rischio di grave danno imminente che può causare il trasferimento dei dati tra Facebook in Irlanda e Facebook negli Stati Uniti, le preoccupazioni di quest’ultimo circa i programmi di sorveglianza utilizzati negli USA dalle agenzie di sicurezza sono condivise dalla Commissione, che ha deciso di revisionare la decisione 2000/520. Pertanto, le autorità nazionali di vigilanza hanno il potere di rinegoziare con gli Stati Uniti i termini della decisione sopra citata e, se lo ritengono necessario, di sospendere la medesima nell’ipotesi di intervento a seguito di denunce o preoccupazioni astratte (come nel caso specifico); tali poteri non possono essere limitati dalle competenze attribuite dal legislatore dell’UE alla Commissione con l’art. 25 della direttiva 95/46. Aggiunge che “se al termine delle sue indagini, un’autorità nazionale di vigilanza ritiene che il trasferimento dei dati contestato mina la tutela di cui i cittadini dell’Unione devono godere per quanto riguarda il trattamento dei loro dati, ha il potere di sospendere il trasferimento dei dati in questione, a prescindere dalla valutazione generale fatta dalla Commissione nella sua decisione”.

Bot, tuttavia, ha anche affermato – nelle conclusioni depositate – che dalle circostanze addotte a sostegno della tesi difensiva di Schrems non emergono violazioni dei principi del Safe Harbor da parte di Facebook. Se Facebook Stati Uniti ha dato alle autorità statunitensi l’accesso ai dati trasferiti da uno Stato membro della UE, lo ha fatto allo scopo di rispettare la legislazione USA. Tale situazione è espressamente accettata dalla decisione 2000/520; non sono, invece, accettate all’interno dell’Unione Europea “le misure incompatibili con il rispetto dei diritti umani”, condizione di legittimità degli atti comunitari.

E’, da segnalare, poi, l’affermazione dell’Avvocato generale secondo cui i cittadini della UE utenti di Facebook non sono a conoscenza del fatto che i loro dati personali “saranno generalmente accessibili alle agenzie di sicurezza degli Stati Uniti” , come sostenuto da una sentenza della CGUE. Bot è del parere che la Decisione 2000/520 debba essere dichiarata invalida perchè le deroghe in essa contenute, che possono portare a disattendere i principi del Safe Harbor, impediscono di garantire un adeguato livello di protezione dei dati personali trasferiti dall’Unione Europea agli Stati Uniti.

Nel caso di specie, secondo Bot la Commissione per la protezione dei dati irlandese avrebbe dovuto sospendere l’applicazione della Decisione 2000/520. La Commissione, infatti, nel valutare qual’è il livello di protezione garantito da un paese terzo, “deve esaminare non solo le leggi interne e gli impegni internazionali, ma anche il modo in cui la protezione dei dati personali è garantita nella pratica. Qualora l’esame della pratica rivela che gli accordi non funzionano correttamente, la Commissione deve agire e, se del caso, sospendere la sua decisione o adattarla senza indugio”.

Alla luce delle motivazioni di cui abbiamo parlato, pertanto, Yves Bot ha concluso che l’art. 28 della Direttiva 95/46/CE del 24.10.1995 in merito alla protezione degli individui con riguardo al trattamento dei dati personali e alla libera circolazione dei medesimi, letta alla luce di quanto disposto dagli artt. 7 e 8 della Carta dei Diritti Fondamentali dell’Unione Europea, deve essere interpretato nel senso che “l’esistenza di una decisione adottata dalla Commissione europea sulla base dell’art. 25 della Direttiva 95/46 non ha l’effetto di impedire a un’autorità nazionale di controllo di istruire una denuncia secondo cui un paese terzo non garantisce un livello adeguato di protezione dei dati personali trasferiti e, se del caso, di sospendere il trasferimento di tali dati. La Decisione della Commissione 2000/520/CE del Parlamento Europeo e del Consiglio sull’adeguatezza della protezione fornita dai principi sulla privacy del Safe Harbor e le relative domande frequenti rilasciate dal Dipartimento del Commercio degli Stati Uniti d’America è invalida”.

Le conclusioni dell’Avvocato generale della UE, che hanno colto un pò di sorpresa, rendono ancora più interessante il procedimento proposto da Max Schrems. Ne seguiremo, pertanto, gli sviluppi.

Fateci sapere le vostre impressioni sulla vicenda nei commenti.

[divider]

La tua iscrizione non può essere convalidata.
La tua iscrizione è avvenuta correttamente.

InTime Blog Newsletter

Abbonati alla newsletter e resta aggiornato su articoli e approfondimenti 

Utilizziamo Brevo come piattaforma di marketing. Inviando questo modulo, accetti che i dati personali da te forniti vengano trasferiti a Brevo per il trattamento in conformità all'Informativa sulla privacy di Brevo.

Scrivimi

Se ti piace quello che scrivo e se vuoi conoscermi meglio, clicca il bottone qui di fianco.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Ultimi articoli

InTime Podcast

spot_img

Articoli correlati
Related

Lo spot Coca-Cola e la IA, quando la magia non convince

Lo spot natalizio della Coca-Cola, realizzato con IA, divide il pubblico. Le critiche riguardano la "freddezza", imperfezioni varie e mancanza di emozione

Social media, da luoghi di interazione a strumenti di potere

Elon Musk c'è riuscito: ha trasformato X in uno strumento di potere politico. Quelli che prima erano strumenti di interazione, oggi sono strumenti di potere.

La fuga da X e crescita delle altre app: come chiudere l’account in sicurezza

La strada di X è segnata e segue quella di Elon Musk. Aumentano gli utenti che abbandonano la piattaforma verso altre app in particolare verso Bluesky ma anche verso Mastodon e Threads.

X pagherà i Creator in base alle interazioni Premium

X da oggi rivoluziona i pagamenti ai creator, puntando sull’engagement degli utenti Premium. E potrebbe portare ad un abbassamento della qualità dei contenuti.