Il 24 marzo 2015 si è tenuta dinanzi alla Grande Camera della Corte di Giustizia europea la prima udienza della causa C-362-14, ovvero Maximilian Schrems contro DPC (Data Protection Commissioner) dell'Irlanda.
La questione della quale si dovrà occupare la Corte europea è la seguente: l'Autorità per la protezione dei dati personali irlandese, in presenza di una denuncia di un cittadino in relazione al trasferimento dei suoi dati personali negli Usa il cui diritto si sostiene non provveda adeguate tutele, è vincolata dalla procedura prevista dal Safe Harbor, sulla base della valutazione della Commissione europea del 26 luglio 2000, oppure in alternativa debba condurre una sua propria indagine alla luce dei recenti sviluppi?

Si tratta di una questione che avrà profonde conseguenze nei rapporti tra Europa e Usa. Ma per comprenderla bene dobbiamo partire da lontano.

Europe Vs Facebook
È il settembre del 2011 quando lo studente austriaco Maximilian Schrems chiede a Facebook l'ostensione dei suoi dati che il social in blu mantiene e tratta. Quindi invia una richiesta, come previsto dalla normativa europea, utilizzando il modulo predisposto da Facebook.
Alla prima richiesta Facebook rifiuta la completa ostensione giustificandosi perché i dati erano considerati: “trade secret or intellectual property of Facebook Ireland Limited or its licensors”. Schrems insiste, e rimane allibito quando si vede recapitare, sotto forma di cd, oltre 1200 pagine in formato A4 contenenti tutto ciò che Facebook aveva conservato su di lui in 3 anni di frequentazione online. Un po' troppo per un sito che sosteneva di conservare i dati per non oltre 90 giorni!
Inoltre, secondo Schrems alcuni di quei dati erano stati da lui cancellati, ma permanevano comunque tra quelli trattati da Facebook, evidenziando una chiara violazione delle norme in materia di privacy.

Schrems presenta 22 ricorsi per violazione della privacy al Garante competente su Facebook, il DPC (Data Protection Commissioner) dell'Irlanda (la sede europea di Facebook è in Irlanda a causa del regime fiscale decisamente più favorevole per le aziende).
A seguito dell'indagine, durata due mesi, il Garante per la privacy irlandese emette un rapporto finale nel quale predispone alcune raccomandazioni alla quali Facebook dovrà adeguarsi per essere in regola con la normativa europea, in particolare limitando il trattamento dei dati degli utenti in assenza di consenso, consentendo la cancellazione definitiva dei dati, compreso i profili inattivi.

La risposta del DPC appare insufficiente e tesa a minimizzare le gravi violazioni, ma le denunce del giovane studente austriaco ricevono un'eco inaspettata quando nel 2012 il Commissario europeo Viviane Reding cita il suo caso per illustrare la predisponenda riforma europea in materia di tutela dei dati personali.

La guerra personale di Max Schrems diventa, quindi, il paradigma della lotta degli utenti contro le multinazionali, una battaglia che però dovrebbe essere interesse di tutti, anche se i governi sono sempre piuttosto recalcitranti a prendere le parti dei cittadini preferendo non scontrarsi contro aziende che portano miliardi di investimenti. Anzi, talvolta ne prendono le difese più o meno apertamente.
La battaglia di Schrems si trasfonde fin da subito in un gruppo di pressione denominato emblematicamente Europe Vs Facebook (EvF), nel quale lavorano anche diversi giovani studenti di legge (come Schrems) e che porta avanti una serie di iniziative. Dobbiamo anche a questo gruppo, infatti, la mancata introduzione del riconoscimento facciale su Facebook, possibile negli Usa ma non consentito in Europa.

PRISM
Nel giugno del 2013, le rivelazioni di Snowden su Prism mostrano all'opinione pubblica mondiale come l'NSA ha intercettato e raccolto enormi quantità di dati degli utenti trattati delle grandi aziende tecnologiche americane (come Facebook, Google, Microsoft, Apple, ecc...). La raccolta di questi dati, secondo alcuni, sarebbe in violazione dell'accordo “Safe Harbor” che regolamenta il trasferimento di dati dall'Europa agli Usa da parte dei provider statunitensi.
La normativa europea (direttiva 46/95 art. 25) non consente il trattamento dei dati dei cittadini europei da parte di aziende che operano sotto la giurisdizione di paesi con norme non equivalenti (cioè con tutela inferiore per i diritti dei cittadini) a quelle europee.
Il Safe Harbor è un accordo risalente al 2000, al quale aderiscono aziende americane che dichiarano di rispettare standard di tutela dei dati personali equivalenti a quelli europei, in tal modo anche aziende che operano secondo normative meno tutelanti per la privacy (come quella americana) possono fare affari in Europa trattando dati dei cittadini europei.

L'adesione al Safe Harbor avviene a seguito di autocertificazione da parte dell'azienda di rispettare determinati requisiti, anche se vi è un controllo annuale della Federal Trade Commission. Le aziende possono però anche procedere con l'autovalutazione interna (in-house) o appaltarla ad aziende esterne. Facebook procede con la verifica in-house. Inoltre il SH non prevede sanzioni ma rimedi, cioè prevede solo che sia imposto all'azienda di adeguarsi.

A seguito delle rivelazioni di Snowden l'accordo Safe Harbor ha ricevuto numerose critiche anche dalle istituzioni europee, al punto che la Commissione LIBE chiese la sospensione dell'accordo per quelle aziende che procedono tramite autocertificazione, la qual cosa sarebbe disastrosa per le aziende americane. E, addirittura, nel marzo 2014 il Parlamento europeo ha approvato modifiche restrittive al trasferimento dei dati verso paesi terzi (modifiche che dovranno essere approvate dal Consiglio d'Europa). Lo stesso Cancelliere tedesco, Angela Merkel, ha espresso forti preoccupazioni sul funzionamento del Safe Harbor.

Il gruppo EvF presenta una nuova istanza al DPC irlandese, ipotizzando che Facebook (ovviamente la medesima azione avrebbe potuto essere avviata contro una qualunque azienda tecnologica americana con sede in Irlanda che aderisce al sistema PRISM, come Apple per esempio) avesse trasferito dati dei cittadini europei al di fuori dell'Unione in violazione dell'accordo Safe Harbor.
In particolare il trasferimento sarebbe illegittimo in quanto i cittadini europei non avevano consapevolezza del trasferimento di massa dei loro dati nell'ambito del sistema PRISM, e quindi qualunque consenso al trasferimento verso gli Usa risulta viziato, e i dati sarebbero eccedenti rispetto allo scopo, in violazione dell'art. 6 della direttiva 46/95.

Chiede quindi di aprire un'indagine, ma il DPC rifiuta, definendo l'azione “frivola e vessatoria”!
Secondo il DPC, infatti, la legittimità del comportamento di Facebook è garantito dall'adesione al Safe Harbor, il quale è stato ritenuto valido dalla Commissione europea al fine di autorizzare il trasferimento di dati verso gli Usa, e quindi non c'è spazio per un'indagine del DPC.
Ma EvF non demorde, e impugna la decisione del Garante rivolgendosi all'Alta Corte irlandese, la quale ribalta la decisione del DPC.
Il Giudice Hogan ritiene che, sulla base delle rivelazioni di Snowden, le prove suggeriscano che i dati personali raccolti da Facebook in Europa vengono controllati in massa e su base indistinta dalle autorità americane, e anche se Schrems non ha una prova definitiva che il Safe Harbor è stato violato, egli è però nel suo pieno diritto di opporsi al trasferimento dei suoi dati verso un paese (gli Usa) la cui tutela dei diritti dei cittadini è sicuramente inferiore a quella garantita dalle norme europee.

Corte di Giustizia dell'Unione europea
Anzi, poiché le questioni sollevate dall'Evf (che nel frattempo ha iniziato 5 azioni -contro Apple, Skype, Microsoft e Yahoo- in tre paesi differenti) sono di rilievo per tutta l'Unione Europea, l'Alta Corte irlandese rinvia la causa alla Corte di Giustizia dell'Unione europea (CGUE).
La domanda alla quale dovrà rispondere la Corte europea è: l'Autorità per la protezione dei dati personali irlandese è vincolata dalla procedura prevista dal Safe Harbor, sulla base della valutazione della Commissione europea di 15 anni fa e che autorizza il trasferimento dei dati sulla base di una autocertificazione, oppure può condurre una sua propria indagine alla luce delle nuove evidenze fattuali (scandalo PRISM) emerse nel frattempo?

Insomma, il DPC deve fare finta di nulla (ignorando anche le modifiche normative avvenute negli Usa a seguito della lotta al terrorismo -Patriot Act- che hanno consentito nuovi e più penetranti poteri da parte del governo americano), oppure lo scandalo delle intercettazioni dell'NSA deve portare ad una nuova valutazione della protezione dei dati che offre gli Usa? Specialmente in considerazione del fatto che dopo l'istituzione del Safe Harbor è entrato in vigore l'art. 8 della Carta dei diritti fondamentali dell'Unione europea:

Protezione dei dati di carattere personale: 1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente.

In questa prospettiva bisogna tenere presente che di recente proprio la Corte europea, con la sentenza dell'8 aprile 2014, ha posto un chiaro monito contro la sorveglianza digitale di massa, invalidando la direttiva europea sulla Data Retention in quanto ritenuta sproporzionata rispetto al suo scopo, che è quello della lotta alla criminalità e quindi la tutela della pubblica sicurezza (cioè il medesimo scopo del sistema PRISM).

La CGUE dichiara illegittimo qualsiasi trattamento generalizzato o indifferenziato, cioè non mirato. La raccolta è la conservazione dei dati personali richiede una differenziazione modulata rispetto al tipo di reato, al tipo di dato e di mezzo di comunicazione, occorre una relazione specifica tra i dati da conservare e la minaccia alla sicurezza pubblica, ed in particolare la conservazione va ristretta sia temporalmente, sia in relazione agli individui coinvolti. Ed infine occorre il rispetto di garanzie essenziali quali l'autorizzazione di un'autorità giudiziaria o di un ente amministrativo indipendente. In breve, il sistema PRISM dell'NSA è proprio il tipo di raccolta di dati che la CGUE considera illegittimo.

Il 24 marzo del 2015 si è tenuta l'udienza preliminare dinanzi alla Corte di Giustizia europea, nella quale Bernhard Schima, consigliere della Commissione europea, ha dovuto ammettere che con l'attuale normativa la Commissione non può garantire il diritto fondamentale dei cittadini europei alla privacy quando i dati vengono trasferiti negli Stati Uniti. Gli Usa non hanno alcun obbligo di soddisfare gli standard europei (più elevati) in tema di privacy, e l'Europa non ha alcun mezzo giuridico per ottenere ciò.
La conclusione è stata lapidaria:

se non volete essere spiati chiudete i vostri account Facebook.

L'avvocato generale Bot consegnerà la sua opinione il 24 giugno.

Ovviamente la CGUE non è chiamata a decidere sulla legittimità del sistema PRISM, né potrebbe farlo, e neppure sulle azioni delle aziende tecnologiche americane, ma è evidente che questa decisione influirà politicamente sulla riforma della normativa in materia di tutela dei dati personali in preparazione, nonché sui rapporti commerciali e diplomatici tra UE e gli Usa, compreso le negoziazioni per il trattato transatlantico (TTIP).