::: PORTALECONSULENZE.IT :::

RICERCA NEI NOSTRI DATABASE

RICERCA AVANZATA

Categoria
primo termine
secondo termine
terzo termine
 
LA CONSULENZA PER TE

LEGGE SULLA PRIVACY
(D.LGS. 196/03)

  • CONSULENZA: COME OPERIAMO
  • DURP - DPS
  • DATA PROTECTION IMPACT ASSESSMENT
  • RESPONSABILE PRIVACY
  • DATA PROTECTION OFFICER

LEGGE ANTI USURA
(l.108/96)

  • CONSULENZA: COME OPERIAMO

LEGGE ANTI RICICLAGGIO
(d.lgs.231/07)

  • CONSULENZA: COME OPERIAMO

LEGGE SULLA SICUREZZA NEI LUOGHI DI LAVORO
(d.lgs.81/08)

  • CONSULENZA: COME OPERIAMO

RESPONSABILITA' AMMINISTRATIVA ENTI
(d.lgs.231/01)

  • CONSULENZA: COME OPERIAMO
TESTI DELLA NORMATIVA

REGOLAMENTO EUROPEO 2017/679

  • TESTO NORMATIVA

LEGGE SULLA PRIVACY
(D.LGS. 196/03)

  • TESTO NORMATIVA
  • ALLEGATO B
  • CIRCOLARI GARANTE
  • DOCUMENTI ATTINENTI
  • DEFINIZIONI

LEGGE ANTI USURA
(l.108/96)

  • TESTO NORMATIVA
  • SENTENZE

LEGGE ANTI RICICLAGGIO
(d.lgs.231/07)

  • TESTO NORMATIVA

LEGGE SULLA SICUREZZA NEI LUOGHI DI LAVORO
(d.lgs.81/08)

  • TESTO NORMATIVA

RESPONSABILITA' AMMINISTRATIVA ENTI
(d.lgs.231/01)

  • TESTO NORMATIVA
     

 

Italiano

apri versione stampabile documento aggiornato il 04/02/2016 10:40:11

SENTENZA NELLA CAUSA C362/14 MAXIMILLIAN SCHREMS/DATA PROTECTION COMMISSIONER. LA CORTE DICHIARA INVALIDA LA DECISIONE DELLA COMMISSIONE CHE ATTESTA CHE GLI STATI UNITI GARANTISCONO UN ADEGUATO LIVELLO DI PROT

 

                                                                                                                                                                                                                    Corte di giustizia dell’Unione europea
                                                                                                                                                                                                                              COMUNICATO STAMPA n.117/15
                                                                                                                                                                                                                                   Lussemburgo,6 ottobre 2015
 
                                                                                                                                                                                                                                 Sentenza nella causa C362/14
                                                                                                                                                                                         Maximillian Schrems/Data Protection Commissioner


La Corte dichiara invalida la decisione della Commissione che attesta che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti.

Solo la Corte è competente a dichiarare invalido un atto dell’Unione, ma le autorità nazionali di controllo, investite di una domanda, possono, anche se esiste una decisione della Commissione che dichiara che un paese terzo offre un adeguato livello di protezione dei dati personali, esaminare se il trasferimento dei dati di una persona verso quel,paese rispetta i requisiti della normativa dell’Unione sulla protezione di tali dati, nonché adire i giudici nazionali, allo stesso titolo della persona interessata, affinché procedano ad un rinvio pregiudiziale per l’esame della validità della decisione.

La direttiva sul trattamento dei dati personali1 dispone che il trasferimento di tali  dati verso un paese terzo può avere luogo, in linea di principio,solo se il paese terzo  di cui trattasi garantisce per questi dati un adeguato livello di protezione. Sempre secondo la direttiva, la Commissione può constatare che un paese terzo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, garantisce un livello di protezione adeguato. Infine, la direttiva prevede che ogni Stato membro designi una o più autorità pubbliche incaricate di sorvegliare l’applicazione nel suo territorio delle  disposizioni di attuazione della direttiva adottate dagli Stati membri(«autorità nazionali di controllo»).

Il sig. Maximilian Schrems, un cittadino austriaco, utilizza Facebook dal 2008. Come accade per gli altri iscritti che risiedono nell’Unione, i dati forniti dal sig. Schrems a Facebook sono trasferiti in tutto o in parte, a partire dalla filiale irlandese di Facebook,su server situati nel territorio degli Stati Uniti, dove sono oggetto di trattamento. Il sig.Schrems ha presentato una denuncia presso l’autorità irlandese di controllo  ritenendo che, alla luce delle rivelazioni fatte nel 2013 dal sig.Edward Snowden in merito alle attività dei servizi di intelligence negli Stati Uniti(in particolare della National Security Agency, o «NSA»), il diritto e le prassi statunitensi non offrano una  tutela adeguata contro la sorveglianza svolta dalle autorità pubbliche sui dati trasferiti verso tale paese.
L’autorità irlandese ha respinto la denuncia, segnatamente con la motivazione che, in una decisione del 26 luglio 20002,la Commissione ha ritenuto che, nel contesto del cosiddetto regime di «approdo sicuro»3, gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti.

La High Court of Ireland (Alta Corte di giustizia irlandese), investita della causa, vuole sapere se questa decisione della Commissione produca l’effetto di impedire ad un’autorità nazionale di controllo di indagare su una denuncia con cui si lamenta che un paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato.

Nella sua odierna sentenza, la Corte reputa che l’esistenza di una decisione della Commissione che dichiara che un paese terzo garantisce un livello di protezione adeguato dei dati personali trasferiti non può sopprimere e neppure ridurre i poteri di cui  dispongono le autorità nazionali di controllo in forza della Carta dei diritti  fondamentali dell’Unione europea e della direttiva.La Corte sottolinea,a questo proposito,il diritto alla protezione dei dati personali garantito dalla Carta e la issione di cui sono investite le autorità nazionali di controllo in forza della Carta medesima.

La Corte considera anzitutto che nessuna disposizione della direttiva osta a  che le autorità nazionali controllino i trasferimenti di dati personali verso paesi terzi oggetto di una decisione della Commissione. Anche quando esiste una decisione della Commissione, quindi,le autorità nazionali di controllo, investite di una domanda, devono  poter esaminare in piena indipendenza se il trasferimento dei dati di una persona verso  un paese terzo rispetti i requisiti stabiliti dalla direttiva. Tuttavia, la Corte ricorda che solo essa è competente a dichiarare invalida una decisione della Commissione, così come qualsiasi atto dell’Unione.
Pertanto, qualora un’autorità nazionale o una persona ritenga che una decisione della Commissione sia invalida, tale autorità o persona deve potersi rivolgere ai giudici nazionali affinché, nel caso in cui anche questi nutrano dubbi sulla validità della  decisione della Commissione, essi possano rinviare la causa dinanzi alla Corte di giustizia. Pertanto,in  ultima analisi è alla Corte che spetta il compito di decidere
se una decisione della Commissione è valida o no.

La Corte passa quindi a verificare la validità della decisione della Commissione del 26 luglio 2000. A questo proposito, la Corte ricorda che la Commissione era tenuta a constatare che gli Stati Uniti garantiscono effettivamente, in considerazione della loro legislazione nazionale o dei loro impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’Unione a norma della direttiva, interpretata alla luce della Carta. La Corte osserva che la Commissione non ha proceduto a una constatazione del genere, ma si è limitata a esaminare il regime dell’approdo sicuro.

Orbene, senza che alla Corte occorra verificare se questo sistema garantisce un livello  di protezione sostanzialmente equivalente a quello assicurato nell’Unione, la Corte rileva che esso è esclusivamente applicabile alle imprese americane che lo sottoscrivono  e che, invece,le  autorità pubbliche degli Stati Uniti non vi sono assoggettate.
Inoltre, le  esigenze afferenti alla sicurezza nazionale, al pubblico interesse e all’osservanza delle leggi statunitensi prevalgono sul regime dell’approdo sicuro, osicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste da tale regime laddove queste  ultime entrino in conflitto con tali esigenze. Il regime americano dell’approdo sicuro rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone, la decisione della Commissione non menziona l’esistenza, negli Stati Uniti, di norme intese a limitare queste eventuali ingerenze, né l’esistenza di una tutela giuridica efficace contro tali ingerenze.

La Corte considera che questa ricostruzione è avvalorata da due comunicazioni della Commissione4, dalle quali si evince, segnatamente, che le autorità degli Stati Uniti potevano accedere ai dati personali trasferiti dagli Stati membri verso tale paese e  trattarli in modo incompatibile, in particolare, con le finalità del loro trasferimento, anche effettuando un trattamento in eccesso rispetto a ciò che era strettamente necessario e proporzionato alla tutela della sicurezza nazionale. Analogamente, la Commissione ha dichiarato che le persone interessate non disponevano di rimedi amministrativi o giurisdizionali intesi, in particolare, ad accedere ai dati che le riguardano e, se necessario, ad ottenerne la rettifica o la cancellazione.

Per quanto attiene al livello di tutela sostanzialmente equivalente alle libertà e ai diritti fondamentali garantiti all’interno dell’Unione, la Corte dichiara che, nel diritto dell’Unione, una normativa non è limitata allo stretto necessario se autorizza  in maniera generalizzata la conservazione di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione verso gli Stati Uniti senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione. La Corte soggiunge che una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata.
 
Parimenti, la Corte osserva che una normativa che non preveda alcuna facoltà per il singolo di esperire rimedi giuridici diretti ad accedere ai dati personali che lo riguardano o ad ottenerne la rettifica o la cancellazione viola il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva, facoltà, questa, che è connaturata all’esistenza di uno Stato di diritto.

Infine, la Corte dichiara che la decisione della Commissione del 26 luglio 2000 priva le autorità nazionali di controllo dei loro poteri nel caso in cui una persona contesti la compatibilità della decisione con la tutela della vita privata e delle libertà e diritti fondamentali delle persone. La Corte afferma che la Commissione non aveva la competenza di limitare in tal modo i poteri delle autorità nazionali di controllo.

Per questo complesso di motivi,la Corte dichiara invalida la decisione della Commissione del 26 luglio 2000. Tale sentenza comporta la conseguenza che l’autorità irlandese di controllo è tenuta a esaminare la denuncia del sig.Schrems con tutta la diligenza necessaria e che a essa spetta, al termine della sua indagine, decidere se, in forza della direttiva, occorre sospendere il trasferimento dei  dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato.



1 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L281, pag.31).
2 Decisione  2000/520/CE  della  Commissione, del 26 luglio 2000, a norma della  direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande  più  frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti(GU2000, L215, pag.7).
3 Il regime dell’approdo sicuro consta di una serie di principi, relativi alla protezione dei dati personali, che le imprese americane possono volontariamente sottoscrivere.
4 Comunicazione della Commissione al Parlamento europeo e al Consiglio, intitolata «Ripristinare un clima di fiducia negli scambi di dati fra l'UE e gli USA»(COM(2013) 846 final, 27 novembre 2013) e Comunicazione della Commissione al Parlamento europeo e al Consiglio sul funzionamento del regime«approdo sicuro» dal punto di vista dei cittadini
dell’UE e delle società ivi stabilite(COM(2013) 847 final, 27 novembre 2013).

 
leggi limitazioni copyright - leggi il disclimer
 
 
       
     
TESTI NORMATIVI SERVIZI NEWS SHOP/DOWNLOAD CONTATTI
 
 
DISCLIMER
leggi il disclimer
 
COPYRIGHT
leggi limitazioni copyright
 
CREDITS
Credits