PRIVACY: l’avvocato generale dice “no” al trasferimento di dati in USA

Conclusioni dell’Avvocato Generale nella causa C-362/2014

La legittimità della circolazione del dato è una problematica che forse in questi anni non ha avuto lo spazio e l’attenzione che avrebbe dovuto. Recentemente, la posizione della Russia (vedi nostro articolo sul tema) di estrema chiusura ma anche l’esplosione dell’offerta dei servizi cloud, oltre che di Internet, ha riportato l’attenzione sul problema.

Un paese sempre molto in discussione sulla protezione dei dati è l’USA;  lo stesso Garante Italiano ha avuto  modo di affrontare la problematica, ma è attualmente aperto un procedimento davanti alla Corte di Giustizia per il quale in questi giorni l’Avvocato Generale della Corte ha presentato le proprie conclusioni.

In particolare, il caso avanti alla Corte UE e di cui il parere dell’Avvocato Generale, nasce dal trasferimento in USA dei dati di un cittadino austriaco da parte di Facebook .

Infatti, come accade per tutti gli iscritti che risiedono nell’Unione, i dati forniti a Facebook sono trasferiti, in tutto o in parte, a partire dalla filiale irlandese, su server situati nel territorio degli Stati Uniti, dove sono conservati. Il cittadino austriaco denuncia questo fatto all’autorità irlandese per la protezione dei dati, ritenendo che il diritto e le prassi statunitensi non offrano alcuna reale protezione contro il controllo ad opera dello Stato americano dei dati trasferiti verso tale paese. L’autorità irlandese ha respinto tale denuncia sulla base di quanto indicato nella  decisione del 26 luglio 2000 della Commissione UE in cui la stessa ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro», gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti.

Non è convinta però, la High Court of Ireland (Alta Corte di giustizia irlandese), la quale investita della causa, vuole sapere se “questa decisione della Commissione produca l’effetto di impedire ad un’autorità` nazionale di controllo di indagare su una denuncia secondo cui un paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato.”

Nelle sue recenti conclusioni, l’avvocato generale Yves Bot ritiene che l’esistenza di una decisione della Commissione che dichiara che “un paese terzo garantisce un livello di protezione adeguato per i dati personali trasferiti non puo` elidere e neppure ridurre i poteri di cui dispongono le autorità` nazionali di controllo in forza della direttiva sul trattamento dei dati personali. Egli ritiene inoltre che la decisione della Commissione sia invalida.”

L’avvocato generale, quindi, stabilisce il “potere” di controllo e il diritto delle autorità nazionali di vietare  un trasferimento di dati in un paese che arrechi pregiudizio alla protezione dei cittadini dell’Unione per quanto attiene al trattamento di loro dati. Questo potere può essere esercitato anche di fronte ad una decisione della Commissione – come nel caso de qua -   che garantisce sull’adeguato livello di sicurezza.

Secondo l’avvocato generale se da una parte le autorità nazionali di controllo sono giuridicamente vincolate dalla decisione della Commissione, dall’altra  questo effetto obbligatorio non presenta una natura tale da implicare che le eventuali denunce siano respinte sommariamente, vale a dire immediatamente e senza alcun esame della loro fondatezza, e cio` a maggior ragione giacche´ il riconoscimento dell’adeguatezza del livello di protezione e` una competenza condivisa tra gli Stati membri e la Commissione.

La causa non è finita.

Ora attendiamo la sentenza della Corte, che tuttavia raramente si discosta dalle Conclusioni dell’Avvocato Generale.

Nella pratica, tuttavia, resta nei compiti e responsabilità del titolare del trattamento verificare se l’eventuale trasferimento di un dato in un determinato Paese sia consentito o no. Tuttavia
a questo punto, come gestire il trasferimento, dal punto di vista del trattamento dati, qualche dubbio c’è poiché se la decisione  della Commissione, che certifica la qualità del trattamento dati di quel Paese, resta conditio sine qua non per il legittimo trasferimento del tato, le stesse decisioni possono essere messe in discussione.