Corte di Giustizia, Sentenza del 15/07/2020, La Grande Sezione si pronuncia sulla tutela dei diritti delle persone fisiche relativamente al trasferimento di dati personali verso Stati terzi

CGUE, C-313/18, sentenza della Grande Sezione, del 16 luglio 2020, su rinvio pregiudiziale relativo al caso Data Protection Comissioner c. Facebook Ireland Ltd, Maximiliam Schrems

La Corte, dopo aver confermato che rientra nell’ambito di applicazione del regolamento (UE) 2016/679 il trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un altro operatore economico stabilito in un paese terzo (anche nel caso in cui tali dati possano poi essere sottoposti a trattamento da parte delle autorità del paese terzo a fini di sicurezza pubblica, di difesa e sicurezza dello Stato), afferma che le garanzie, i diritti azionabili e i mezzi di ricorso effettivi richiesti dall’art. 46, parr. 1 e 2 del regolamento devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo sul fondamento di clausole tipo di protezione dei dati godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta dei diritti fondamentali dell’Unione europea. La valutazione del livello di protezione garantito deve prendere in considerazione tanto le clausole contrattuali convenute tra il titolare del trattamento o il responsabile del trattamento stabiliti nell’Unione e il destinatario del trasferimento stabilito nel paese terzo interessato quanto, per quel che riguarda un eventuale accesso delle autorità pubbliche di tale paese terzo ai dati personali così trasferiti, gli elementi rilevanti del sistema giuridico di quest’ultimo. Per quanto concerne, poi, i poteri delle autorità nazionali di controllo, la Corte evidenzia che, in mancanza di una decisione di adeguatezza validamente adottata dalla Commissione europea, dette autorità sono tenute a sospendere o a vietare un trasferimento di dati verso un paese terzo effettuato sulla base di clausole tipo di protezione dei dati adottate dalla Commissione qualora esse ritengano che le suddette clausole non siano o non possano essere rispettate in tale paese terzo e che la protezione dei dati trasferiti richiesta dal diritto dell’Unione non possa essere garantita con altri mezzi. Sebbene la decisione di adeguatezza della Commissione sia vincolante verso gli Stati e i relativi organi, ciò non significa che l’autorità nazionale di controllo competente, investita da una persona di un reclamo relativo alla protezione dei suoi diritti e delle sue libertà rispetto ad un trattamento dei suoi dati personali, non debba poter esaminare, in piena indipendenza, se il trasferimento di tali dati rispetti i requisiti posti dal RGPD e, se del caso, proporre un ricorso dinanzi ai giudici nazionali affinché questi ultimi procedano, se condividono i dubbi di tale autorità, ad un rinvio pregiudiziale diretto all’esame della validità della decisione della Commissione.

La Corte dichiara, infine, invalida la decisione della Commissione circa l’adeguatezza della protezione offerta dal regime dello scudo per la privacy UE-USA non potendosi ritenere che gli Stati Uniti assicurino un livello di protezione adeguato poiché tanto i programmi di sorveglianza fondati sull’articolo 702 del FISA, quanto quelli fondati sull’E.O. 12333 non rispettano il requisito della proporzionalità e non garantiscono agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici, cosicché tali interessati non dispongono di un diritto di ricorso effettivo.