Dati personali, perché la Corte di Giustizia ha annullato il «Privacy Shield»

Con un’altra sentenza storica, la Corte di giustizia dell’Unione europea riscrive la trama dei rapporti (non solo) commerciali tra Europa e Stati Uniti. Al centro della questione vi sono, anche in questo caso, le garanzie accordate oltreoceano ai dati personali trasferiti dall’Europa, nell’ambito di rapporti commerciali. Considerando la strutturale connessione che caratterizza, ormai, la relazione tra dati ed economia - non è un caso che si parli di data driven economy - è evidente come la regolazione della protezione dei dati abbia implicazioni rilevantissime anche sotto il profilo economico e, quindi, geopolitico.

Lo si è percepito chiaramente a seguito dell’invalidazione, da parte della Corte di giustizia, meno di cinque anni fa, della decisione della Commissione fondata sull’accordo “Safe Harbor”, che sanciva le garanzie da accordare ai dati trasferiti negli Usa dall’Europa. Tale accordo (per il cui miglioramento tanto si era speso Stefano Rodotà, all'epoca della sua negoziazione Garante italiano e presidente dell’organo di coordinamento dei Garanti europei) era stato, infatti, ritenuto inidoneo ad assicurare una protezione sufficiente ai dati personali ricevuti dall’Europa. Di fatto secondo la Corte di giustizia il livello di protezione dei diritti tra le due sponde dell’Atlantico non si poteva considerare equivalente, e quindi bisognava rinegoziare un nuovo accordo che potesse rafforzare le garanzie dei soggetti i cui dati siano trasferiti oltreoceano. Esito di questa negoziazione è stato lo scudo transatlantico (privacy Shield) che però, con la sentenza del 16 luglio, è stato ritenuto inidoneo dalla Corte di Lussemburgo a garantire una protezione, “sostanzialmente equivalente” a quella europea.

La Corte ritiene che le limitazioni di tale diritto, ammesse nell’ordinamento statunitense, non possano ritenersi proporzionali, in ragione, essenzialmente, del carattere massivo degli accessi previsti dai programmi di surveillance. Né, del resto, l’ordinamento statunitense accorda una tutela giurisdizionale effettiva ai diritti degli interessati lesi, non potendo ritenersi a tal fine sufficiente - osserva la Corte - la procedura di mediazione affidata dallo Shield all’Ombudsperson, in ragione della sua non piena indipendenza e della carenza di poteri decisori vincolanti nei confronti degli organi di intelligence statunitensi. La Corte sottolinea, insomma, l’esigenza di una tutela effettiva di quello che il Presidente uscente del Garante italiano, Antonello Soro, ha definito diritto “di libertà”, argomentando dalla sua collocazione sistematica all'interno della Carta di Nizza.

Ma la sentenza della Corte non si segnala soltanto per questa rivendicazione, orgogliosa e quasi identitaria, del dovere, per chiunque e ovunque tratti i dati degli europei, di accordare loro tutele equivalenti a quelle del Vecchio continente. L’altro profilo importante è, per altro verso, nascosto tra le pieghe della conferma della validità della decisione della Commissione sulle clausole contrattuali tipo, suscettibili di inclusione negli accordi commerciali per il trasferimento dei dati. La legittimità del ricorso a queste clausole - pur non vincolanti, in ragione della loro natura negoziale, per le autorità Usa - si fonda, per la Corte, sul controllo ulteriore che esse impongono, ai data exporter e alle Autorità di protezione dati, circa le chances di loro effettiva attuazione nello Stato ricevente. Si tratta di un vaglio indubbiamente complesso, di cui ancora una volta si onera un soggetto privato quale il data exporter, secondo una linea di marcata responsabilizzazione promossa non solo dal Gdpr ma anche, più in generale, dalla Corte di giustizia, rispetto agli obblighi del provider circa i contenuti illeciti diffusi in rete. Un indirizzo, questo, teso a far corrispondere a sempre più rilevanti “poteri privati” altrettanti oneri di carattere, talora, quasi pubblicistico.

SOTTOPONI UN QUESITO

L'esperto risponde

Scopri di più

EBOOK

I Focus di Norme & Tributi

Scopri di più

Al di là delle oggettive difficoltà di attuazione proprie dell’onere, di cui la Corte grava i data exporter, di valutazione dell'effettività delle garanzie contrattuali stipulate, la conclusione cui giunge la sentenza ha un rilievo importante, anzitutto in termini assiologici. Essa sottende, infatti, l’idea che il diritto alla protezione dati necessiti di una tutela “oggettiva”, che non si esaurisce nella fase negoziale, inter partes, ma necessita di tutele pubblicistiche effettive. La protezione dei dati appare sempre meno una mera questione “privatistica” e, sempre più, un tema di straordinaria rilevanza costituzionalistica, su cui si misura la tenuta della democrazia. Insomma, un passo indietro dell'idea di monetizzazione del dato, ed un passo avanti di quella, antitetica, del dato personale come base (indisponibile) del patrimonio costituzionale europeo.