Dopo la sentenza del 2015 (per comodità Schrems I) arriva una nuova decisione della Corte di giustizia dell’Unione europea in materia di trasferimento dei dati personali dall’Unione europea verso gli Stati Uniti d’America. La sentenza in questione (Corte di giustizia dell’Unione europea (Grande Sezione), 16 luglio 2020, C-311/18, Data Protection Commissioner c. Facebook Ireland Lts, Maximilian Schrems) è provocata nuovamente da Maximilian Schrems, che ha chiesto al Commissario per la protezione dei dati irlandese di sospendere o vietare il trasferimento dei suoi dati personali effettuato da Facebook Ireland verso la casa madre, Facebook Inc., ubicata negli Stati Uniti.

La sentenza è sostanzialmente in linea di continuità con il precedente del 2015 ed è coerente anche con le più recenti sentenze della Corte in materia di protezione dei dati. Rivela immediato interesse per il parametro del giudizio che in essa viene utilizzato. Nel 2015, infatti, il parametro era la direttiva 95/46, oggi è il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. E già questo è un elemento di novità della pronuncia.

Anche in questo caso la Corte annulla la nuova decisione di adeguatezza della Commissione, nota come ‘scudo per la privacy’, riaprendo così la questione di una idonea regolamentazione del regime di trasferimento dei dati verso un paese terzo, nella specie gli Stati Uniti. Ma questo è forse l’aspetto più appariscente, per così dire, della sentenza.

La pronuncia della Corte interviene infatti su questioni nuove di notevole rilevanza per il trattamento dei dati personali, che non è possibile analizzare nel dettaglio in questa sede. L’elemento di maggiore novità (dogmatico e pratico) contenuto nella sentenza è, a mio parere, rappresentato dalla configurazione del rapporto tra la decisione di adeguatezza della Commissione e le clausole tipo di protezione. Appoggiandosi sull’art. 44 del Regolamento la Corte assume, sulla questione, una posizione che avrà notevoli effetti dal punto di vista della politica internazionale della protezione dei dati e dal punto di vista pratico, stabilendo che il trasferimento dei dati –sia esso fondato sull’art. 45, e quindi su decisioni di adeguatezza della Commissione, sia esso fondato sull’art. 46 del Regolamento, e quindi sulle clausole tipo di protezione dati – deve essere realizzato in maniera tale da non pregiudicare il livello di protezione delle persone fisiche garantito dal diritto dell’Unione. Insomma, sia che si ricorra a strumenti ‘pubblicistici’ (come la decisione della Commissione) sia che si ricorra a strumenti privatistici (quali sono le clausole tipo), la Corte vuole che sia comunque garantito uno standard alto di tutela dei diritti della persona.

Passando dal piano dogmatico a quello pratico, la conseguenza di tale impostazione impatta fortemente sulla posizione dei titolari dei dati personali e dei destinatari del trasferimento dei dati nel paese terzo. Si tratta di un serio richiamo alle responsabilità che i grandi players di Internet e della gestione dei dati devono assumersi se vogliono essere presenti sul mercato europeo. Chiamati dalla Corte a valutare attentamente le caratteristiche degli ordinamenti giuridici di destinazione dei dati, l’adeguatezza di questi ordinamenti a garantire un livello di tutela dei dati personali omogeneo agli standard europei, l’affidabilità dei destinatari del trasferimento, i titolari di dati personali che vogliano trasferirli al di fuori dell’Unione dovranno essere non solo attrezzati ma consapevoli delle responsabilità cui vanno incontro. E il compito non sarà dei più facili, soprattutto se i destinatari dovessero trovarsi in ordinamenti poco trasparenti e restii a svelare le proprie tecniche di sorveglianza elettronica.

Insieme ai titolari dei dati personali, la decisione accentua il ruolo che le autorità di controllo (da noi il garante per la privacy) devono svolgere nel valutare l’operato dei titolari dei dati personali in caso di trasferimento degli stessi verso paesi terzi. A dirla tutta, la sentenza in commento potrebbe addirittura essere all’origine di rischi di una frammentazione della tutela o, meglio ancora, di una tutela a macchia di leopardo, legata alle specificità ordinamentali dei singoli Stati e alla maggiore sensibilità di qualche autorità di controllo rispetto ad altre.

La sentenza in commento va quindi ben oltre la pur importante questione del trasferimento dei dati verso gli Stati Uniti. Mi pare di poter dire che la decisione Schrems II ha un rilievo di politica transnazionale del diritto che oltrepassa il caso deciso, poiché essa innalza decisamente l’asticella del livello di tutela che tutti coloro che sono attivi nella circolazione europea dei dati personali devono poter superare se non vogliono essere eliminati da questa importantissima fetta di mercato. Ora la palla torna alla Commissione, che dovrà mettersi al lavoro per trovare un nuovo compromesso con gli Stati Uniti. A tal proposito le due sentenze Schrems offrono direttive abbastanza chiare alla Commissione, che non dovrebbe più incorrere in concessioni pericolose agli Stati Uniti (come, ad esempio, la prevalenza dei motivi di sicurezza e di difesa nazionale, bocciata per ben due volte dalla Corte di giustizia). E forse dovrebbero essere cercate nuove soluzioni da parte della Commissione e degli Stati Uniti rispetto a quelle percorse fino ad ora senza grande successo.

Da un punto di vista giuridico la strada passa attraverso la cruna del diritto a un ricorso effettivo perché è la effettiva garanzia di questo diritto fondamentale (ai sensi dell’art.47 della Carta dei diritti fondamentali dell’Unione europea) ad essere utilizzata dalla Corte come concreto parametro per la valutazione del livello di tutela adeguato che il paese terzo destinatario del trasferimento dei dati deve assicurare. Da un punto di vista politico e istituzionale, invece, è forse giunto il momento di chiedersi se non darsi da fare per sviluppare una seria politica unionale di cloud che permettano alle imprese (e ai cittadini) europei di tenere i propri dati nei confini dell’Unione senza essere esposti alle interferenze di paesi terzi (siano essi gli Stati Uniti o la Cina). La sentenza della Corte di giustizia potrebbe rappresentare un utile volano in tal senso.