Trasferimento dati personali extra UE: gli europei possono bloccare il flusso dei dati

di Enrica Maio

Gli Stati europei potrebbero bloccare il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti. È questa la posizione dell’avvocato generale della Corte europea, Yves Bot, pronunciatosi sulla decisione 2000/520/CE della Commissione Europea che ha dichiarato adeguata la protezione assicurata ai dati personali dei cittadini europei negli USA e dunque ne ha consentito il trasferimento, secondo gli accordi di Safe Harbor.

Le conclusioni dell’avvocato Bot nascono dal giudizio instaurato da un cittadino austriaco, utente di Facebook, che avendo preso atto dell’enorme mole di sui dati personali trasferiti sui server situati nel territorio statunitense ha deciso di ricorrere, da ultimo, anche alla Corte di Giustizia dell’Unione europea.

La denuncia, giunta all’autorità irlandese per la protezione dei dati (dove ha sede la filiale europea del social network californiano), voleva mettere in luce come il diritto e le prassi americane non siano in grado di offrire sufficiente protezione contro il controllo ad opera dello Stato statunitense dei dati trasferiti verso tale Paese, tenuto conto delle rivelazioni in merito alle attività dei servizi di intelligence (Nsa) negli USA a seguito del caso Snowden. L’autorità irlandese, però, aveva respinto il reclamo con la motivazione che la Commissione europea aveva già ritenuto adeguata la protezione dei dati personali offerta dagli Stati Uniti con la Decisione 2000/520/CE. L’interessato, in seguito, aveva pertanto adito l’Alta Corte di Giustizia irlandese, che aveva portato al vaglio della Corte di Giustizia europea la possibilità che una decisione della Commissione potesse produrre l’effetto di impedire ad un’autorità nazionale di controllo di indagare su una denuncia secondo cui un Paese terzo non assicura un livello di protezione adeguato e, conseguentemente, di sospendere il trasferimento di dati contestato.

In proposito, la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio, del 24 ottobre 1995 (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati), dispone che il trasferimento dei dati di cittadini europei verso un paese terzo può avere luogo se il Paese stesso garantisce per questi dati un livello di protezione adeguato. In più, la Commissione, qualora constati l’esistenza di un idoneo livello di protezione, può adottare una decisione in base alla quale si consente il trasferimento dei dati personali verso il paese interessato.

Secondo l’avvocato Bot, l’esistenza di una decisione della Commissione che stabilisce che un Paese terzo garantisce un livello di protezione adeguato per i dati personali trasferiti non può elidere e neppure ridurre i poteri di cui dispongono le singole autorità nazionali di controllo in forza della Direttiva sul trattamento dei dati personali, giungendo a ritenere addirittura la decisione della Commissione invalida.

Come si legge nel comunicato stampa n. 106/15 della Corte di giustizia dell’Unione Europea, "i poteri d’intervento delle autorità nazionali di controllo, tenuto conto dell’importanza del loro ruolo in materia di protezione dei dati, devono rimanere integri. Se le autorità nazionali di controllo fossero vincolate in maniera assoluta dalle decisioni della Commissione, la loro indipendenza totale, di cui godono in forza della direttiva, risulterebbe inevitabilmente limitata”.

Detto ciò, quindi, come anche dichiarato dall’avvocato generale, quando un’autorità nazionale di controllo ritenga che un trasferimento di dati possa portare gravi pregiudizi alla protezione dei cittadini europei in merito al trattamento dei loro dati, essa ha il potere di sospendere detto trasferimento, e ciò prescindendo dalla valutazione generale svolta dalla Commissione europea. È opportuno ricordare, pertanto, che la Commissione non dispone della competenza di limitare i poteri delle autorità nazionali di controllo.

Inoltre, se il Paese terzo verso cui i dati personali sono trasferiti presenta carenze sistemiche, gli Stati membri dell’UE devono avere la possibilità di adottare tutte quelle misure necessarie per salvaguardare i diritti tutelati dalla Carta dei diritti fondamentali dell’Unione europea, tra cui figurano il diritto al rispetto della vita privata e della vita familiare e il diritto alla protezione dei dati a carattere personale, come sancito dagli artt. 71 e 82 della Carta.

Negli Stati Uniti, la legge e la consuetudine consentono di raccogliere i dati personali dei cittadini europei che sono trasferiti sui server presenti nel territorio americano, senza che i cittadini del Vecchio Continente possano usufruire di una tutela giurisdizionale effettiva. In più, l’accesso dei servizi di intelligence americani ai dati trasferiti costituirebbe una grave violazione dell’art. 8 della Carta.

Infine, appare opportuno menzionare l’accordo commerciale tra UE e USA, c.d. Safe Harbor Agreement. Tale accordo, stipulato nel 2000, consente il trasferimento dei dati personali dei cittadini europei verso gli Stati Uniti d’America e, di fatto, ha prestato il fianco alla sorveglianza di massa dell’Nsa.

È chiaro che, all’esito di questa vicenda, l’accordo in questione potrebbe essere rivisto per garantire una maggiore tutela ai cittadini europei relativamente ai loro dati personali, e se la decisione della Corte di giustizia europea, prevista per la fine dell’anno, sarà in linea con le considerazioni dell’avvocato Bot, il Safe Harbor Agreement dovrà essere riscritto, così come già nei propositi dalla Commissione europea.

1. Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni.

2. Articolo 8 Protezione dei dati di carattere personale:

1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.

2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.

3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Trasferimento dati personali extra UE: gli europei possono bloccare il flusso dei dati

Comprendere l’AI Act: verso un’intelligenza artificiale responsabile

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA